NVIDIA a révélé 3 failles de sécurité dans Shield TV

0

NVIDIA a récemment révélé trois vulnérabilités de sécurité dans NVIDIA Shield TV, qui pourraient permettre un déni de service, une élévation des privilèges et la perte de données.

NVIDIA Shield TV est un gadget décodeur qui agit comme un hub pour la maison intelligente, diffuse des jeux d’un PC sur le téléviseur; et permet la lecture et le streaming de médias locaux et en ligne. Les jeux Android compatibles avec Android TV sont compatibles avec le Shield TV et le contrôleur, tout comme ceux du marché GeoForce de NVIDIA.

Par ailleurs, NVIDIA a émis un avis de sécurité mis à jour pour un groupe de failles de sécurité dans le pilote d’affichage de l’unité de traitement graphique (GPU) de NVIDIA. Celles-ci pourraient exposer les gamers Linux et d’autres au déni de service, à l’élévation des privilèges et à la divulgation d’informations.

Les failles de NVIDIA Shield TV

En ce qui concerne le périphérique IoT connu sous le nom de Shield TV, une faille de haute gravité (CVE-2021-1068) existe dans le composant NVDEC du gadget, qui est un décodeur matériel. Cela se produit parce qu’un attaquant peut lire ou écrire dans un emplacement de mémoire qui se trouve en dehors de la limite prévue du tampon, ce qui peut conduire à un déni de service ou à une élévation des privilèges. Cette faille a une note de gravité CVSS de 7,8 sur 10.

Les deux autres vulnérabilités sont de gravité moyenne. La faille identifiée comme CVE-2021-1069 se trouve dans la fonction NVHost et pourrait entraîner un redémarrage anormal en raison d’une référence de pointeur nulle, entraînant une perte de données.

CVE‑2021‑1067, se trouve dans l’implémentation de l’état de la commande RPMB, dans lequel un attaquant peut écrire dans le bloc de configuration de protection en écriture, ce qui peut conduire à un déni de service ou à une élévation des privilèges.

Pour protéger un système, les utilisateurs peuvent télécharger et installer une mise à jour logicielle via la notification de mise à jour qui apparaîtra sur l’écran d’accueil ou en accédant à Paramètres> À propos> Mise à jour du système.

Failles du noyau du pilote d’affichage du GPU d’NVIDIA

Plus tôt en Janvier, Nvidia a corrigé les failles liées à 16 CVE dans ses pilotes graphiques et logiciels vGPU, dans sa première mise à jour de sécurité de 2021. Un avis de sécurité mis à jour inclut désormais la disponibilité de pilotes Linux corrigés pour la gamme de GPU Tesla, affectant CVE-2021 -1052, CVE-2021-1053 et CVE-2021-1056.

Tesla est une gamme de cartes accélératrices GPU optimisées pour le calcul haute performance à usage général. Ils sont utilisés pour le calcul scientifique, technique et technique parallèle, et ils sont conçus pour être déployés dans des supercalculateurs, des clusters et des stations de travail.

nvidia

Les correctifs résolvent une vulnérabilité importante (CVE-2021-1052) dans le pilote graphique de NVIDIA, qui est le composant logiciel qui permet au système d’exploitation et aux programmes d’un périphérique d’utiliser le matériel graphique de haut niveau, optimisé pour les jeux.

La vulnérabilité se trouve dans le gestionnaire de couche de mode noyau Linux (nvlddmkm.sys) pour DxgkDdiEscape ou IOCTL. Ici, «les clients en mode utilisateur peuvent accéder aux API à privilèges héritées, ce qui peut entraîner un déni de service, une élévation des privilèges et la divulgation d’informations», selon la société.

Les deux autres failles Linux sont de gravité moyenne. La première (CVE-2021-1053) affecte également le gestionnaire de couche en mode noyau (nvlddmkm.sys) pour DxgkDdiEscape ou IOCTL, dans lequel une validation incorrecte d’un pointeur peut conduire à un déni de service.

La deuxième faille de moyenne gravité (CVE‑2021056) est une vulnérabilité dans la couche du mode noyau (nvidia.ko) dans laquelle il ne respecte pas complètement les autorisations du système de fichiers du système d’exploitation pour fournir une isolation au niveau du périphérique GPU, ce qui peut mener au déni de services ou la divulgation d’informations.

Des détails complets sur toutes les vulnérabilités du GPU sont disponibles dans le bulletin de sécurité. Les versions corrigées sont les suivantes:

nvidia

Les failles de sécurité de NVIDIA

Ce n’est pas une première pour NVIDIA.

L’année dernière, la société a déployé un nombre important de correctifs; y compris des correctifs pour deux failles de haute gravité dans la version Windows de son logiciel GeForce Experience, et un correctif pour une faille critique dans sa gamme de serveurs DGX hautes performances, tous deux en Octobre; et une faille très grave dans son logiciel d’application GeForce NOW pour Windows en Novembre.

Laisser un commentaire