Nvidia 发布针对高严重性图形驱动程序漏洞的安全更新

Lasted 2021-01-08 23:48:21

Nvidia 已发布了一系列安全修复程序,以解决 Nvidia GPU 显示驱动程序和 vGPU 软件中的严重程度为 High 的问题。

微软周四发布了该补丁程序,称这些补丁程序涉及“可能导致拒绝服务,特权升级,数据篡改或信息泄露”的问题。

总共,Nvidia 已解决与 Nvidia GPU 显示驱动程序(用于支持图形处理单元)以及用于虚拟工作站、服务器、应用程序和 PC 的 vGPU 软件相关的16个漏洞。

Nvidia 最新一轮安全性处理的最严重漏洞是 CVE-20211051,CVSS评分为8.4。该问题影响 Windows GPU 显示驱动程序的内核模式层。如果被利用,此缺陷可能导致拒绝服务或特权升级。

CVE-2021‑1052 是驱动程序中第二严重程度最高的漏洞,但是此错误同时影响 Windows 和 Linux。该安全漏洞的严重性等级为 7.8,也可以在内核模式层中找到,它允许用户模式客户端访问旧的特权 API。结果,利用此漏洞的漏洞可能导致拒绝服务,特权升级和信息泄漏。

Nvidia 还解决了 CVE-2021‑1053,这是 Windows 和 Linux 计算机的显示驱动程序错误,CVSS 评分为 6.6,表明该漏洞被认为是中等/重要的问题。针对以相同内核模式层为目标的用户指针的不正确验证可能导致拒绝服务。

其他两个也在内核模式层中的问题 CVE-2021‑1054 和 CVE-2021‑1055 会特别影响 Windows 设备,严重等级分别为 6.5 和 5.3。这些漏洞涉及无法执行授权检查和不正确的访问控制,并且可以被利用来导致拒绝服务。CVE-2021-1055 也可能导致数据泄漏。

最后一个漏洞 CVE-2021-1056 仅影响 Linux PC。CVSS 评分为 5.3,此错误是由操作系统文件系统权限错误,提示信息泄露和拒绝服务引起的。

总共报告了 10 个影响了 Nvidia vGPU 的漏洞,其中有 8 个与 vGPU 管理器有关。

除了CVE-2021-1066(vGPU管理器中的中等CVSS 5.5输入验证问题,导致资源过载和拒绝服务)外,每个漏洞的严重性等级为7.8。

Nvidia 修复了八个 vGPU管理器和插件漏洞,范围从输入数据验证错误到竞争条件和不受信任的源值。这些安全漏洞可能导致信息泄露,完整性和机密性丢失以及数据篡改。

CVE-2021-1058 和 CVE-2021-1060 这两个输入索引验证漏洞会影响 Guest  内核模式驱动程序和 vGPU 插件。可以触发第一个导致整数溢出,从而允许数据篡改、数据泄漏和拒绝服务,而第二个可以用于服务拒绝和数据操作。

为了获得保护,Nvidia 建议用户接受自动安全更新,或直接下载它们。