NVIDIA a publié des mises à jour de sécurité pour corriger les vulnérabilités de sécurité trouvées dans les pilotes GPU Display et CUDA et le logiciel Virtual GPU Manager qui pourraient conduire à l’exécution de code, à un déni de service, à une escalade de privilèges et à la divulgation d’informations sur les machines Windows et Linux.

Bien que toutes les failles corrigées aujourd’hui nécessitent un accès utilisateur local et ne puissent pas être exploitées à distance, les attaquants doivent d’abord prendre pied sur les machines exposées pour lancer des attaques conçues pour abuser de ces bogues.

Une fois cela réalisé, ils pourraient les exploiter en plantant à distance du code ou des outils malveillants ciblant l’un de ces problèmes sur les appareils exécutant des pilotes NVIDIA vulnérables.

Problèmes de gravité élevée affectant les appareils Windows et Linux

En abusant de ces vulnérabilités, les attaquants peuvent augmenter les privilèges pour obtenir des autorisations supérieures à celles par défaut accordées par le système d’exploitation, pour rendre les machines non corrigées temporairement inutilisables en déclenchant des états de déni de service. ou pour exécuter localement du code malveillant sur des systèmes Windows et Linux compromis.

Les bogues sont livrés avec des scores de base CVSS V3 allant de 4,4 à 7,8, six d’entre eux ayant reçu une évaluation à haut risque de NVIDIA.

Les failles de sécurité logicielles corrigées par NVIDIA dans le cadre de la mise à jour de sécurité de juin 2020 sont répertoriées dans le tableau ci-dessous avec des descriptions complètes et les scores de base CVSS V3 attribués à chacun d’eux.

Pilote d’affichage GPU NVIDIA
CVE-IDLa descriptionScore de base
CVE ‑ 2020‑5962NVIDIA GPU Display Driver contient une vulnérabilité dans le composant NVIDIA Control Panel, dans laquelle un attaquant disposant d’un accès au système local peut corrompre un fichier système, ce qui peut entraîner un déni de service ou une escalade de privilèges.7.8
CVE ‑ 2020‑5963Le pilote NVIDIA CUDA contient une vulnérabilité dans les API de communication inter-processus, dans laquelle un contrôle d’accès incorrect peut entraîner l’exécution de code, un déni de service ou …

Voir la source de cette publication