Nvidia: des failles Windows liées aux pilotes graphiques

Le fabricant de puces graphiques Nvidia a corrigé deux failles de haute gravité dans ses pilotes graphiques. Les pirates informatiques peuvent exploiter les vulnérabilités pour afficher des données sensibles, obtenir des privilèges élevés ou lancer des attaques de déni de service (DoS) dans les appareils Windows impactés.

Le pilote graphique de Nvidia (également connu sous le nom de pilote d’affichage GPU) pour Windows est utilisé dans les appareils destinés aux joueurs passionnés, c’est le composant logiciel qui permet au système d’exploitation et aux programmes de l’appareil d’utiliser son matériel graphique de haut niveau optimisé pour les jeux.

nvidia

L’une des vulnérabilités, CVE-2020-5962, se trouve dans le composant Nvidia Control Panel, qui permet de contrôler les paramètres du pilote graphique ainsi que d’autres utilitaires installés sur le système. La faille pourrait permettre à un attaquant disposant d’un accès au système local de corrompre un fichier système, ce qui pourrait entraîner une attaque de déni de service ou une escalade de privilèges, selon l’avis de sécurité de Nvidia.

Une autre vulnérabilité (CVE‑2020‑5963) se trouve dans le pilote CUDA, une plate-forme informatique et un modèle de programmation inventés par Nvidia. Le problème provient d’un contrôle d’accès incorrect dans les API de communication inter-processus du pilote. Cela pourrait conduire à une exécution de code, au déni de service ou à la divulgation d’informations.

Le pilote d’affichage contient également quatre failles de gravité moyenne, se trouvant dans le composant hôte de service (CVE ‑ 2020‑5964), le pilote DirectX 11 en mode utilisateur (CVE‑2020‑5965), le noyau (CVE‑2020‑5966 ) et le pilote UVM (CVE‑2020‑5967).

Divers pilotes sont affectés pour les utilisateurs de Windows et Linux, y compris ceux qui utilisent les logiciels GeForce, Quadro et Tesla de Nvidia. Une liste complète des versions concernées – et mises à jour – se trouve ci-dessous.

nvidia

Nvidia a également résolu quatre failles de haute gravité dans son gestionnaire Virtual GPU (vGPU), son outil qui permet à plusieurs machines virtuelles d’avoir un accès direct et simultané à un seul GPU physique, tout en utilisant également des pilotes graphiques Nvidia déployés sur des systèmes d’exploitation non virtualisés. .

Dans ce cas, le logiciel ne restreint pas (ou restreint de manière incorrecte) les opérations dans les limites d’une ressource qui pourrait être accédé à l’aide d’un index ou d’un pointeur. Cela peut conduire à l’exécution de code, au déni de service, à une élévation de privilèges ou à la divulgation d’informations (CVE‑2020‑5968), a averti Nvidia.

Une autre faille vient du plugin vGPU qui valide les ressources partagées avant de les utiliser, créant une situation de concurrence critique qui peut mener à un déni de service ou à une divulgation d’informations (CVE-2020-5969). L’autre problème est que la taille des données d’entrée n’est pas vérifiée dans le plug-in vGPU, ce qui peut entraîner une falsification ou un déni de service (CVE-2020-5970).

La dernière faille vGPU (CVE‑2020‑5971) est causée par le fait que le logiciel lit à partir du tampon en utilisant des mécanismes d’accès au tampon (tels que des index ou des pointeurs) qui référencent des emplacements de mémoire après le tampon ciblé. Cela pourrait entraîner l’exécution de code, le déni de service, une augmentation des privilèges ou la divulgation d’informations.

Second déploiement de patchs pour Nvidia en 2020

Ce n’est que la dernière série de correctifs publiés par Nvidia. Plus tôt en Mars, la société a corrigé plusieurs vulnérabilités de haute gravité dans son pilote graphique qui pourraient être exploitées par un attaquant local pour lancer des attaques DoS ou d’exécution de code.

L’année dernière, Nvidia a publié des correctifs pour des failles de haute gravité dans deux produits de jeu populaires, y compris son pilote graphique pour Windows et GeForce Experience. Les failles pourraient être exploitées pour lancer une série d’attaques malveillantes – du déni de service à l’élévation de privilèges. Toujours en 2019, Nvidia a corrigé une autre vulnérabilité de haute gravité dans son logiciel GeForce Experience, qui pourrait conduire à l’exécution de code ou à des dénis de services de produits, si elles étaient exploités.