首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】NVIDIA GPU 11月多個安全漏洞

發布時間 2022-12-01

 

0x00 漏洞概述

NVIDIA(英偉達)是GPU(圖形處理器)的發明者,也是人工智能計算的引領者。

11月28日,NVIDIA 發布了GPU 顯示驅動程序的軟件安全更新,修復了Windows 和 Linux GPU 驅動程序中的多個安全漏洞,成功利用這些漏洞可能導致代碼執行、拒絕服務、權限提升、信息泄露或數據篡改等。

 

0x01 漏洞詳情

本次NVIDIA GPU安全更新共修復了7個評級為“高?!暗穆┒?,詳情如下:

漏洞編號

評分

遠程利用

描述

CVE 2022   34669

8.8

適用于   Windows 的 NVIDIA GPU 顯示驅動程序在用戶模式層中存在漏洞,無特權的普通用戶可以訪問或修改系統文件或其他對應用程序至關重要的文件,這可能導致代碼執行、拒絕服務、權限升級、信息泄露或數據篡改。

CVE 2022   34671

8.5

適用于Windows的NVIDIA GPU顯示驅動程序在用戶模式層存中存在漏洞,非特權普通用戶可越界寫入,導致代碼執行、拒絕服務、權限提升、信息泄露或數據篡改。

CVE 2022   34672

7.8

適用于   Windows 的 NVIDIA 控制面板存在漏洞,未經授權的用戶或無特權的普通用戶可以通過獲取特權、讀取敏感信息或執行命令來破壞軟件的安全性。

CVE 2022   34670

7.8

適用于   Linux 的 NVIDIA GPU 顯示驅動程序在內核模式層處理程序中存在漏洞,非特權普通用戶在將圖元轉換為較小尺寸的圖元時可能會出現截斷錯誤,導致數據在轉換中丟失,這可能造成拒絕服務或信息泄露。

CVE 2022   42263

7.1

適用于   Linux 的 NVIDIA GPU 顯示驅動程序在內核模式層處理程序中存在漏洞,可能導致整數溢出,造成拒絕服務或信息泄露。

CVE 2022   34676

7.1

適用于   Linux 的 NVIDIA GPU 顯示驅動程序在內核模式層處理程序中存在漏洞,可能導致越界讀取,造成拒絕服務、信息泄露或數據篡改。

CVE 2022   42264

7.1

適用于   Linux 的 NVIDIA GPU 顯示驅動程序在內核模式層存在漏洞,非特權普通用戶可通過使用超出范圍的指針偏移量,導致數據篡改、數據丟失、信息泄露或拒絕訪問。

 

此外,NVIDIA還修復了 VGPU 軟件中的多個漏洞,如CVE?2022?42260(CVSS評分7.8),該漏洞存在于NVIDIA vGPU Display Driver for Linux guest D-Bus配置文件中,可能導致代碼執行、拒絕服務、權限提升、信息泄露或數據篡改。

GPU和硬件驅動在操作系統上通常以高權限運行,攻擊者可以利用驅動中的漏洞為惡意軟件或代碼提供同樣的權限,因此這些漏洞往往成為攻擊者的目標。

 

0x02 安全建議

目前這些漏洞已經修復,受影響的驅動程序版本和修復版本如下所示,相關用戶可參考官方公告升級到相應修復版本。

NVIDIA GPU WINDOWS

image.png

NVIDIA GPU LINUX

image.png

鏈接:

https://nvidia.custhelp.com/app/answers/detail/a_id/5415

 

0x03 參考鏈接

https://nvidia.custhelp.com/app/answers/detail/a_id/5415

https://www.bleepingcomputer.com/news/security/nvidia-releases-gpu-driver-update-to-fix-29-security-flaws/

 

0x04 版本信息

版本

日期

修改內容

V1.0

2022-12-01

首次發布

 

 

0x05 附錄

公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 

上一篇 下一篇