0x00 漏洞概述
NVIDIA(英偉達)是GPU(圖形處理器)的發明者,也是人工智慧計算的引領者。
11月28日,NVIDIA 發佈了GPU 顯示驅動程序的軟體安全更新,修復了Windows 和 Linux GPU 驅動程序中的多個安全漏洞,成功利用這些漏洞可能導致程式碼執行、拒絕服務、許可權提升、資訊洩露或資料篡改等。
0x01 漏洞詳情
本次NVIDIA GPU安全更新共修復了7個評級為「高危「的漏洞,詳情如下:
漏洞編號 | 評分 | 遠端利用 | 描述 |
CVE 2022 34669 | 8.8 | 否 | 適用於 Windows 的 NVIDIA GPU 顯示驅動程序在使用者模式層中存在漏洞,無特權的普通使用者可以訪問或修改系統檔案或其他對應用程序至關重要的檔案,這可能導致程式碼執行、拒絕服務、許可權升級、資訊洩露或資料篡改。 |
CVE 2022 34671 | 8.5 | 是 | 適用於Windows的NVIDIA GPU顯示驅動程序在使用者模式層存中存在漏洞,非特權普通使用者可越界寫入,導致程式碼執行、拒絕服務、許可權提升、資訊洩露或資料篡改。 |
CVE 2022 34672 | 7.8 | 否 | 適用於 Windows 的 NVIDIA 控制面板存在漏洞,未經授權的使用者或無特權的普通使用者可以通過獲取特權、讀取敏感資訊或執行命令來破壞軟體的安全性。 |
CVE 2022 34670 | 7.8 | 否 | 適用於 Linux 的 NVIDIA GPU 顯示驅動程序在核心模式層處理程序中存在漏洞,非特權普通使用者在將圖元轉換為較小尺寸的圖元時可能會出現截斷錯誤,導致資料在轉換中丟失,這可能造成拒絕服務或資訊洩露。 |
CVE 2022 42263 | 7.1 | 否 | 適用於 Linux 的 NVIDIA GPU 顯示驅動程序在核心模式層處理程序中存在漏洞,可能導致整數溢出,造成拒絕服務或資訊洩露。 |
CVE 2022 34676 | 7.1 | 否 | 適用於 Linux 的 NVIDIA GPU 顯示驅動程序在核心模式層處理程序中存在漏洞,可能導致越界讀取,造成拒絕服務、資訊洩露或資料篡改。 |
CVE 2022 42264 | 7.1 | 否 | 適用於 Linux 的 NVIDIA GPU 顯示驅動程序在核心模式層存在漏洞,非特權普通使用者可通過使用超出範圍的指針偏移量,導致資料篡改、資料丟失、資訊洩露或拒絕訪問。 |
此外,NVIDIA還修復了 VGPU 軟體中的多個漏洞,如CVE‑2022‑42260(CVSS評分7.8),該漏洞存在於NVIDIA vGPU Display Driver for Linux guest 的D-Bus配置檔案中,可能導致程式碼執行、拒絕服務、許可權提升、資訊洩露或資料篡改。
GPU和硬體驅動在作業系統上通常以高許可權運行,攻擊者可以利用驅動中的漏洞為惡意軟體或程式碼提供同樣的許可權,因此這些漏洞往往成為攻擊者的目標。
0x02 安全建議
目前這些漏洞已經修復,受影響的驅動程序版本和修復版本如下所示,相關使用者可參考官方公告升級到相應修復版本。
NVIDIA GPU WINDOWS:
NVIDIA GPU LINUX:
連結:
https://nvidia.custhelp.com/app/answers/detail/a_id/5415
0x03 參考連結
https://nvidia.custhelp.com/app/answers/detail/a_id/5415
https://www.bleepingcomputer.com/news/security/nvidia-releases-gpu-driver-update-to-fix-29-security-flaws/
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-12-01 | 首次發佈 |
