Nvidia: Plusieurs failles patchées dans le pilote graphique

Nvidia a distribué des patchs pour des vulnérabilités importantes dans son pilote graphique. Ces failles de sécurité peuvent être exploitées par un utilisateur local pour lancer des attaques de déni de service (DoS) ou des exécutions de code.

Le pilote d’affichage de l’unité de traitement graphique (GPU) de Nvidia est utilisé dans le matériel destiné aux joueurs passionnés; c’est le composant logiciel qui permet au système d’exploitation et aux programmes de l’appareil d’utiliser son matériel graphique. Les pilotes d’affichage utilisés dans les cartes graphiques des marques GeForce, Quadro et Tesla sur Windows sont particulièrement concernés.

nvidia

La faille la plus importante se trouve dans le composant du panneau de commande du pilote graphique, ce dernier est un programme utilitaire qui aide les utilisateurs à surveiller et à ajuster les paramètres de leur carte graphique. Selon Nvidia dans son rapport de sécurité, publié la semaine dernière, un pirate disposant d’un accès au système local peut corrompre un fichier système dans le panneau de contrôle, ce qui entraînerait un déni de service ou une élévation de privilèges.

La vulnérabilité (CVE ‑ 2020‑5957) a un score de 8,4 sur 10,0 sur l’échelle CVSS, ce qui la rend très grave.

Une autre vulnérabilité, de gravité moyenne, existe dans le panneau de commande du pilote graphique (CVE ‑ 2020‑5958). Un pirate disposant d’un accès au système local pourrait exploiter cette faille en plantant un fichier DLL malveillant dans le panneau de configuration, ce qui pourrait entraîner l’exécution de code, le déni de service ou la divulgation d’informations.

Pour ces deux failles du pilote graphique, les versions concernées et les versions patchées sont répertoriées ci-dessous. Les versions patchées sont maintenant disponibles, à l’exception d’un patch pour les versions R440 des cartes graphiques Nvidia Tesla pour Windows; d’autres patchs seront disponibles durant la semaine du 9 mars.

nvidia

Nvidia a également révélé plusieurs vulnérabilités dans Virtual GPU (vGPU) Manager, son outil qui permet à plusieurs machines virtuelles d’avoir un accès direct et simultané à un seul GPU physique, tout en utilisant des pilotes graphiques Nvidia déployés sur des systèmes d’exploitation non virtualisés.

La plus grave de ces failles existe dans le plugin vGPU, “dans lequel une valeur d’index d’entrée est incorrectement validée, ce qui peut conduire à un déni de service”, selon Nvidia. La vulnérabilité (CVE ‑ 2020‑5959) a un score de 7,8 sur 10,0 sur l’échelle CVSS, ce qui la rend très grave.

Une autre faille de gravité moyenne (CVE-2020-5960) dans vGPU provient du mode noyau de l’outil (nvidia.ko), qui est vulnérable à une erreur de déréférencement de pointeur null. Ce type d’erreur se produit lorsqu’un programme tente de lire ou d’écrire en mémoire avec un pointeur null, provoquant une erreur de segmentation. La faille peut provoquer un déni de service, selon Nvidia.

Nvidia a également corrigé une vulnérabilité de gravité moyenne dans son pilote graphique vGPU pour les systèmes d’exploitation invités. Un «nettoyage incorrect des ressources sur un chemin d’échec» dans ce pilote peut avoir un impact sur la machine virtuelle invitée, conduisant à un déni de service. Une variété de versions sont affectées par ces failles logicielles vGPU (elles peuvent être trouvées ici); Nvidia a déclaré que des versions mises à jour seront distribuées en mars.

Pas la première fois pour Nvidia

L’année dernière, Nvidia a publié des patchs pour des failles importantes dans deux produits populaires, y compris son pilote graphique pour Windows et GeForce Experience. Les failles pouvaient être exploitées pour lancer une série d’attaques malveillantes – du déni de service à l’élévation de privilèges. Toujours en 2019, Nvidia a corrigé une autre vulnérabilité importante dans son logiciel GeForce Experience, qui pouvait mener à l’exécution de code ou à des dénis de service, si elle était exploité.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x