NVIDIA GPU显卡驱动漏洞安全通告
发布时间 2019-02-28漏洞编号和级别
CVE编号:CVE-2019-5665,危险级别:高危, CVSS分值:8.8
CVE编号:CVE-2019-5666,危险级别:高危, CVSS分值:8.8
CVE编号:CVE-2019-5667,危险级别:高危, CVSS分值:8.8
CVE编号:CVE-2019-5668,危险级别:高危, CVSS分值:8.8
CVE编号:CVE-2019-5669,危险级别:高危, CVSS分值:8.8
CVE编号:CVE-2019-5670,危险级别:高危, CVSS分值:7.8
CVE编号:CVE-2019-5671,危险级别:中危, CVSS分值:6.5
CVE编号:CVE-2019-6260,危险级别:低危, CVSS分值:2.2
影响范围
受影响版本:
WINDOWS
LINUX
漏洞概述
NVIDIA (英伟达)发布安全更新,修复了8个 NVIDIA GPU 显卡驱动软件中的安全问题,它们可导致 Windows 和 Linux 设备出现代码执行、权限提升、拒绝服务或信息泄漏等问题。
虽然所有的这些安全缺陷均需本地用户访问权限而无法遭远程利用,但攻击者可远程利用它们通过多种方式在运行易受攻击的 NVIDIA GPU 显卡驱动的系统上植入恶意工具。
潜在的攻击者能够通过触发可导致拒绝服务状态的 CVE 使易受攻击的机器不可用,而通过利用未修复的代码执行漏洞,攻击者能够在遭攻陷的机器上运行命令或代码。
准攻击者还能通过利用导致信息泄漏的问题,收集运行过时的 NVIDIA GPU显卡驱动版本的系统的易受攻击信息。另一方面,提升多个 CVE 缺陷的权限导致攻击者有可能提升自己的权限,获取由系统授予的最初权限以外的权限。
CVE-2019-5665
NVIDIA Windows GPU 显卡驱动中包含 3D 视觉插件中的一个漏洞,立体声服务软件在打开文件时并不检查硬链接。此行为可导致代码执行、拒绝服务或权限提升。
CVE-2019-5666
NVIDIA Windows GPU 显卡驱动包含内核模式层 (nvlddmkm.sys) 创建上下文命令 DDI DxgkDdiCreateContext中的一个漏洞。产品在计算或使用数组索引时使用不受信任的输入,但产品未能或错误地将索引验证为确保索引引用数组中的有效位置,可导致拒绝服务或权限提升后果。
CVE-2019-5667
NVIDIA Windows GPU显卡驱动中包含一个位于DxgkDdiSetRootPageTable的内核模式层(nvlddmkm.sys)处理程序中的一个漏洞,应用程序取消引用它期望有效的但为NULL的指针,可能导致代码执行、拒绝服务或权限提升。
CVE-2019-5668
NVIDIA Windows GPU显卡驱动包含一个位于DxgkDdiSubmitCommandVirtual的内核模式层(nvlddmkm.sys)处理程序的一个漏洞,其中应用程序取消引用它期望有效但为NULL的指针,或导致拒绝服务或权限提升。
CVE-2019-5669
NVIDIA Windows GPU显卡驱动包含位于DxgkDdiEscape的内核模式层处理程序中的一个漏洞,软件使用顺序操作来读取或写入缓冲区,但它使用不正确的长度值,导致访问外部的内存缓冲区的边界,从而可能导致拒绝服务或权限提升。
CVE-2019-5670
NVIDIA Windows GPU显卡驱动中包含位于DxgkDdiEscape的内核模式层处理程序的一个漏洞,软件使用顺序操作来读取或写入缓冲区,但它使用不正确的长度值,导致它访问外部的内存缓冲区的边界可能导致拒绝服务、权限提升、代码执行或信息泄漏。
CVE-2019-5671
NVIDIA Windows GPU显卡驱动中包含位于DxgkDdiEscape的内核模式层(nvlddmkm.sys)处理程序的一个漏洞,软件在其有效生命周期结束后不会释放资源,从而可能导致拒绝服务。
CVE-2019-6260
NVIDIA图形驱动程序中包含一个漏洞,可能允许通过GPU性能计数器公开的侧通道访问GPU上处理的应用程序数据。利用该漏洞要求获得本地用户访问权限。该漏洞不是网络或远程攻击向量。
修复建议
这些漏洞已于2019年2月的安全更新中修复。建议所有用户尽快应用 NVIDIA 驱动下载页面中的可用安全更新升级驱动:https://www.nvidia.com/Download/index.aspx。
参考链接
https://nvidia.custhelp.com/app/answers/detail/a_id/4772
京公网安备11010802024551号