На этой неделе инженеры NVIDIA выпустили обновления безопасности, устранив множество уязвимостей в своих продуктах: графических драйверах и GeForce Experience. К счастью, все исправленные проблемы требуют локального доступа к системе и не могут быть использованы удаленно, то есть предварительно злоумышленникам придется скомпрометировать целевую машину иным способом.
В общей сложности всего в NVIDIA GPU Display Driver было исправлено восемь уязвимостей, которые могут привести к отказу в обслуживании, повышению привилегий или раскрытию информации.
Наиболее серьезными из этих ошибок являются две уязвимости в nvlddmkm.sys. Баги имеют идентификаторы CVE‑2019‑5690 и CVE‑2019‑5691, и по шкале оценки уязвимостей CVSS они набрали 7,8 балла каждый. Обе проблемы могут привести к отказу в обслуживании или повышению привилегий. Еще одна уязвимость, CVE‑2019‑5692, тоже затрагивает этот же компонент и тоже может привести к повышению привилегий или отказу в обслуживании.
NVIDIA GeForce Experience были исправлены три уязвимости, и их использование может привести к исполнению произвольного кода, раскрытию информации или отказу в обслуживании.
Наиболее серьезной является CVE‑2019‑5701 (оценка CVSS —7,8 баллов): при включении GameStream баг позволяет злоумышленнику с локальным доступом к системе загружать DLL графического драйвера Intel без проверки. Это может привести к отказу в обслуживании, раскрытию информации или повышению привилегий.
Также опасна уязвимость в компоненте Downloader (CVE‑2019-5689, оценка CVSS — 6,7 баллов), она может быть использована атакующим с локальным доступом для загрузки вредоносных файлов. Это может привести к выполнению кода, отказу в обслуживании или раскрытию информации.
Все уязвимости уже устранены в Windows-версии NVIDIA GPU Display Driver 441.12 (для GeForce и Quadro версий NVS R440) и версии NVIDIA GeForce Experience 3.20.1.
Также исправления содержат NVIDIA GPU 8.2 (драйвер 426.26) для Windows и GPU 8.2 (драйвер 418.109) для Citrix Hypervisor, VMware vSphere, Red Hat Enterprise Linux KVM и Nutanix AHV. Кроме того, разработчики NVIDIA обещают выпустить патчи для других версий Quadro, NVS, Tesla и GPU через неделю.