信息來源:51CTO
上周,科技巨頭Nvidia發(fā)布了Nvidia GPU Display Driver中的多個安全漏洞的安全更新。這10個安全漏洞的CVSS 評分在5.5到7.8之間,影響的設備包括Windows和Linux機器。
漏洞分析
其中影響NVIDIA GPU顯卡驅動的安全漏洞分別是:
CVE?2020?5962
CVE?2020?5962漏洞位于驅動的Nvidia Control Panel組件中,本地攻擊者利用該漏洞可以破壞系統(tǒng)文件,引發(fā)DoS攻擊或權限提升。
CVE?2020?5963
CVE?2020?5963 漏洞位于CUDA 驅動的 Inter Process Communication(進程間通信)API中,漏洞屬于不當的訪問安全漏洞,攻擊者利用該漏洞可以進行代碼執(zhí)行、發(fā)起DoS攻擊和信息泄露。
CVE?2020?5964
CVE?2020?5964漏洞是顯卡驅動的服務主機組件中的錯誤,攻擊者利用該漏洞可以繞過資源完整性檢查,引發(fā)代碼執(zhí)行、服務拒絕、信息泄露攻擊等。
CVE?2020?5965
CVE?2020?5965漏洞位于顯卡的DirectX 11用戶模式驅動中。攻擊者利用精心偽造的著色器shader可以引發(fā)越界寫、DoS等。目前該漏洞已被修復。
CVE?2020?5966
CVE?2020?5966是基于Windows的GPU顯卡驅動的kernel模式層的漏洞,攻擊者將空指針的間接引用武器化后可以進行權限提升或DoS 攻擊。
CVE?2020?5967
CVE?2020?5967是驅動的UVM 服務的Linux版本中的安全漏洞,攻擊者利用漏洞中的競爭條件錯誤可以引發(fā)DoS拒絕服務攻擊。
其中邊界限制錯誤、資源驗證問題、緩存錯誤可以被濫用來進行代碼執(zhí)行、服務修改、權限提升和DoS攻擊。
其中影響NVIDIA 虛擬GPU管理器中的vGPU插件的安全漏洞有:
CVE?2020?5968
CVE?2020?5968漏洞CVSS評分為7.8,其中軟件沒有對使用索引或指針訪問的資源邊界進行限制。攻擊者利用該漏洞可以實現(xiàn)代碼執(zhí)行、DoS、權限提升或信息泄露。
CVE?2020?5969
CVE?2020?5969漏洞CVSS評分為7.8。由于在使用前沒有驗證共享的資源,導致競爭條件可能會引發(fā)DoS或信息泄露。
CVE?2020?5970
CVE?2020?5970漏洞CVSS評分為7.8。由于沒有對輸入數據大小進行驗證,可能會導致DoS。
CVE?2020?5971
CVE?2020?5971漏洞CVSS評分為7.8。軟件在使用緩存訪問機制從緩存中讀取數據可能會導致代碼執(zhí)行、DoS、權限提升、信息泄露等。
CVE?2020?5972
CVE?2020?5972漏洞CVSS評分為5.5分。由于本地指針變量沒有初始化,而且之后可能會釋放,引發(fā)DoS。
CVE?2020?5973
CVE?2020?5973漏洞CVSS評分為4.4分.攻擊者利用該漏洞可以執(zhí)行權限提升操作,并可能引發(fā)DoS。
漏洞影響和修復
漏洞影響Windows和 Linux vGPU客戶驅動軟件,包括Citrix Hypervisor、VMware vSphere、Red Hat Enterprise Linux with KVM和Nutanix AHV。
其中影響Windows機器的漏洞有:
其中影響Linux機器的漏洞有:
CVE?2020?5968, CVE?2020?5969, CVE?2020?5970, CVE?2020?5971, CVE?2020?5972, CVE?2020?5973漏洞目前已經發(fā)布了安全補丁。最新版本的vGPU 也將于7月6日發(fā)布。