Η NVIDIA κυκλοφόρησε ενημερώσεις ασφαλείας για να αντιμετωπίσει τις ευπάθειες ασφαλείας που εντοπίστηκαν στους drivers GPU Display και CUDA και στο software Virtual GPU Manager που θα μπορούσαν να οδηγήσουν σε εκτέλεση κώδικα, DoS, κλιμάκωση προνομίων και αποκάλυψη πληροφοριών σε υπολογιστές Windows και Linux.
Όλα τα ελαττώματα που επιδιορθώνονται σήμερα απαιτούν πρόσβαση από τον τοπικό χρήστη και δεν μπορούν να αξιοποιηθούν εξ αποστάσεως, με τους επιτιθέμενους να πρέπει πρώτα να εισβάλλουν τοπικά στα εκτεθειμένα μηχανήματα για να ξεκινήσουν επιθέσεις που έχουν σχεδιαστεί για την κατάχρηση αυτών των σφαλμάτων.
Μόλις επιτευχθεί αυτό, θα μπορούσαν να τα εκμεταλλευτούν «φυτεύοντας» εξ αποστάσεως κακόβουλο κώδικα ή εργαλεία που στοχεύουν ένα από αυτά τα ζητήματα σε συσκευές που τρέχουν ευάλωτους NVIDIA drivers.
Ζητήματα υψηλής σοβαρότητας που επηρεάζουν συσκευές Windows, Linux
Με την κατάχρηση αυτών των τρωτών σημείων, οι επιτιθέμενοι μπορούν να κλιμακώσουν τα προνόμια για να αποκτήσουν δικαιώματα πάνω από τα αρχικά προεπιλεγμένα από το λειτουργικό σύστημα, για να καταστήσουν τα μη ενημερωμένα συστήματα/μηχανήματα προσωρινά άχρηστα, ενεργοποιώντας καταστάσεις DoS ή εκτελώντας τοπικά κακόβουλο κώδικα σε παραβιασμένα συστήματα Windows και Linux.
Τα σφάλματα έρχονται με βασικές βαθμολογίες CVSS V3 που κυμαίνονται από 4.4 έως και 7.8, με έξι από αυτά να έχουν αξιολογηθεί ως υψηλού κινδύνου.
Τα ελαττώματα ασφάλειας λογισμικού που αντιμετωπίζει η NVIDIA ως μέρος της ενημερωμένης έκδοσης ασφαλείας του Ιουνίου 2020 παρατίθενται παρακάτω μαζί με τις βασικές βαθμολογίες CVSS V3 που έχουν λάβει.
NVIDIA GPU Display Driver
- CVE‑2020‑5962 (βαθμολογία 7,8)
- CVE‑2020‑5963 (βαθμολογία 7,8)
- CVE‑2020‑5964 (βαθμολογία 6,5)
- CVE‑2020‑5965 (βαθμολογία 5,5)
- CVE‑2020‑5966 (βαθμολογία 5,5)
- CVE‑2020‑5967 (βαθμολογία 5,5)
NVIDIA vGPU Software
- CVE‑2020‑5968 (βαθμολογία 7,8)
- CVE‑2020‑5969 (βαθμολογία 7,8)
- CVE‑2020‑5970 (βαθμολογία 7,8)
- CVE‑2020‑5971 (βαθμολογία 7,8)
- CVE‑2020‑5972 (βαθμολογία 5,5)
- CVE‑2020‑5973 (βαθμολογία 4,4)
Σύμφωνα με την ανακοίνωση ασφαλείας της NVIDIA, η “αξιολόγηση κινδύνου βασίζεται στον μέσο όρο του κινδύνου σε ένα διαφορετικό σύνολο εγκατεστημένων συστημάτων και ενδέχεται να μην αντιπροσωπεύει τον πραγματικό κίνδυνο της τοπικής σας εγκατάστασης.”
Η εταιρεία συνιστά επίσης να συμβουλευτείτε έναν επαγγελματία IT ή ασφάλειας για να αξιολογήσετε με ακρίβεια τον κίνδυνο της συγκεκριμένης διαμόρφωσης του συστήματος.
Επηρεασμένες εκδόσεις προγραμμάτων οδήγησης NVIDIA
Το ενημερωτικό report ασφαλείας του Ιουνίου 2020 περιλαμβάνει την πλήρη λίστα προϊόντων λογισμικού και εκδόσεων που επηρεάζονται από τα σφάλματα που επιδιορθώθηκαν από τη NVIDIA σήμερα.
Η NVIDIA ενθαρρύνει τους πελάτες να ενημερώσουν τους display drivers GeForce, Quadro, NVS και Tesla Windows GPU, καθώς και το λογισμικό Virtual GPU Manager, εφαρμόζοντας τις ενημερώσεις ασφαλείας που είναι διαθέσιμες στη σελίδα NVIDIA Driver Downloads.
Η NVIDIA λέει ότι ορισμένοι από τους πελάτες που δεν θα διορθώσουν τα ελαττώματα με μη αυτόματο τρόπο, ενδέχεται επίσης να λάβουν τις εκδόσεις 451.55, 446.06 και 443.18 των GPU display drivers των Windows από τους προμηθευτές hardware των υπολογιστών τους, με τις ενημερώσεις ασφαλείας που κυκλοφόρησαν σήμερα να είναι ομαδοποιημένες.
Οι χρήστες λογισμικού Enterprise NVIDIΑ vGPU πρέπει να συνδεθούν στο NVIDIA Enterprise Application Hub για να λάβουν τις ενημερώσεις μέσω του NVIDIA Licensing Center.
Για να μάθετε ποια έκδοση NVIDIA driver έχετε εγκαταστήσει στον υπολογιστή σας, μπορείτε να ακολουθήσετε τη διαδικασία που περιγράφεται εδώ.
