NVIDIA a publié des mises à jour de sécurité pour corriger six vulnérabilités de sécurité trouvées dans les pilotes d’affichage GPU Windows et Linux, ainsi que dix failles supplémentaires affectant le logiciel de gestion NVIDIA Virtual GPU (vGPU).

Les vulnérabilités exposent les machines Windows et Linux à des attaques menant à un déni de service, à une élévation des privilèges, à une falsification de données ou à la divulgation d’informations.

Tous ces bogues de sécurité nécessitent un accès utilisateur local, ce qui signifie que les attaquants potentiels devront d’abord accéder aux appareils vulnérables en utilisant un vecteur d’attaque supplémentaire.

Onze vulnérabilités de gravité élevée corrigées

Suite à l’exploitation réussie de l’une des vulnérabilités corrigées aujourd’hui, les attaquants peuvent facilement augmenter les privilèges pour obtenir des autorisations supérieures à celles par défaut accordées par le système d’exploitation.

Ils peuvent également être exploités pour rendre les machines exécutant des pilotes ou des logiciels vulnérables temporairement inutilisables en déclenchant des états de déni de service ou pour accéder à des informations autrement impossibles à obtenir.

NVIDIA a résolu les problèmes de sécurité de tous les produits logiciels et plates-formes concernés, à l’exception de ceux identifiés comme CVE ‑ 2021‑1052, CVE ‑ 2021‑1053 et CVE ‑ 2021‑1056 ayant un impact sur le pilote d’affichage du GPU Linux pour les GPU Tesla qui recevront une version du pilote de mise à jour commençant le 18 janvier 2021.

Les bogues sont accompagnés de scores de base CVSS V3 allant de 5,3 à 8,4, 11 d’entre eux ayant reçu une évaluation à haut risque de NVIDIA.

Le bulletin de sécurité de NVIDIA indique que «l’évaluation des risques est basée sur une moyenne des risques sur un ensemble diversifié de systèmes installés et peut ne pas représenter le risque réel de votre installation locale».

L’entreprise conseille également de consulter un professionnel de l’informatique ou de la sécurité pour évaluer correctement le risque que ces vulnérabilités présentent pour la configuration de votre système spécifique.

La liste complète des failles de sécurité corrigées par NVIDIA ce mois-ci est disponible …