SOS :: Security Operation Space
14 ноября, четверг, 00:00
|
Hot News:

Компания Nvidia закрыла серьезные баги в драйверах видеокарт

08 ноября 2019 г., пятница, 15:42

Уязвимости могли вызвать отказ в обслуживании, а также создать условия для эскалации привилегий атакующего.

Компания Nvidia исправила более десятка уязвимостей в своем программном обеспечении. Важные патчи получил набор драйверов GPU Display Driver для Windows, а также утилита GeForce Experience. Некоторые недостатки оценены специалистами как опасные и требуют скорейшего обновления затронутых продуктов.

Уязвимости в драйверах графических карт Nvidia

Вендор залатал девять багов в комплекте GPU Display Driver, который содержит драйверы для видеокарт GeForce, Quadro NVS и Tesla, а также входит в состав программного продукта vGPU. Наиболее серьезные уязвимости касаются обработчика функции DxgkDdiEscape, запускаемого в режиме ядра системы. Две из них получили рейтинг 7,8 балла по шкале CVSS, а одна оценена специалистами в 7,1 балла.

Как следует из рекомендаций по безопасности Nvidia, CVE-2019-5690 связана с отсутствием проверки размера входного буфера, CVE-2019-5691 возникает из-за разыменования нулевого указателя, а CVE-2019-5692 допускает использование ненадежных данных при создании или использовании индекса массива. Все три уязвимости могут привести к отказу в обслуживании или расширению прав атакующего. Эксплуатация недостатков требует локального доступа к целевой машине, однако не предполагает взаимодействия с пользователем.

Еще один баг в той же подсистеме получил 6,5 балла CVSS и связан с применением неинициализированного указателя. По мнению специалистов Nvidia, атака с использованием CVE-2019-5693 может привести к состоянию отказа в обслуживании.

Остальные уязвимости в GPU Display Driver имеют рейтинг угрозы от 5,1 до 6,5 балла по шкале CVSS. Недостатки касаются панели управления Nvidia, компонента Virtual GPU Manager и подсистемы локального поставщика услуг.

Баги в приложении Nvidia GeForce Experience

Программа GeForce Experience, ответственная за автоматическое обновление драйверов, оптимизацию настроек графической системы, а также запись и прямую трансляцию игрового процесса, получила три патча. Наиболее опасная уязвимость зарегистрирована как CVE-2019-5701 и может привести к несанкционированному раскрытию информации, отказу в обслуживании и эскалации привилегий через запуск вредоносного кода. Как пояснили специалисты Nvidia, злоумышленник с локальным доступом к компьютеру может загрузить DLL-библиотеку графического драйвера Intel, минуя проверку пути или подписи.

Проблема, которая проявляется только при активированной службе GameStream, получила 7,8 балла по шкале CVSS. Эксплуатация уязвимости не предполагает взаимодействия с пользователем целевой машины.

Два других бага в GeForce Experience представляются менее опасными — они оценены специалистами в 6,7 и 6,5 балла по шкале CVSS. Одна уязвимость связана с ошибкой в загрузчике, которая позволяет сохранить на целевой машине вредоносный файл, другая — с возможностью подмены DLL при работе локального поставщика услуг.

Компания Nvidia подготовила обновления для всех уязвимых продуктов. Ее клиенты компании могут получить их по каналам техподдержки вендора.

В октябре этого года Nvidia залатала серьезные недостатки в консоли Shield TV. Два бага в программном обеспечении телевизионной приставки позволяли киберпреступникам повысить свои привилегии, выполнить вредоносный код и получить несанкционированный доступ к данным.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
10:15
09:15
06:15
06:15
17:15
17:13
16:36
15:17
13:15
12:15
10:15
08:15
07:15
06:15
05:40
05:13
16:50
15:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.612
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.