.
A Nvidia corrigiu mais de duas dúzias de falhas de segurança em seu driver de exibição de GPU, a mais grave das quais poderia permitir que um usuário sem privilégios modificasse arquivos e aumentasse privilégios, executasse código, adulterasse ou roubasse dados ou até mesmo controlasse seu dispositivo.
No total, a fabricante de chips corrigiu 29 vulnerabilidades que afetam os produtos Windows e Linux, incluindo 10 bugs de alta gravidade.
A Nvidia não publica uma tonelada de informações técnicas sobre as falhas para garantir que os clientes possam corrigir seus sistemas antes que criminosos descubram explorar essas vulnerabilidades – espero – mas aqui está o que sabemos sobre os problemas de segurança.
O mais grave do grupo, rastreado como CVE-2022-34669, afeta a versão do Windows do driver de exibição da GPU e recebeu uma pontuação CVSS de 8,8.
De acordo com a Nvidia, esta vulnerabilidade pode permitir que “um usuário regular sem privilégios [to] acessar ou modificar arquivos do sistema ou outros arquivos críticos para o aplicativo.” A exploração bem-sucedida pode levar à execução de código, negação de serviço, escalação de privilégios, divulgação de informações ou adulteração de dados, o comunicado notado.
Outra falha de alta gravidade (CVE-2022-34671) que também afeta o produto Windows e recebeu uma classificação CVSS de 8,5 existe na camada de modo de usuário do driver de exibição da GPU. Isso pode permitir que um usuário sem privilégios cause uma gravação fora dos limites, também levando à execução de código, negação de serviço, escalação de privilégios, divulgação de informações ou adulteração de dados, de acordo com a Nvidia.
Quatro outros receberam pontuação CVSS de 7,8. Eles são:
CVE-2022-34672, uma vulnerabilidade no painel de controle do Windows que pode permitir que um usuário não autorizado obtenha privilégios, leia informações confidenciais e execute comandos.
CVE-2022-34670, que é encontrado no manipulador de camada do modo kernel do driver de exibição da GPU para Linux. “Um usuário regular sem privilégios pode causar erros de truncamento ao converter um primitivo para um primitivo de tamanho menor, fazendo com que os dados sejam perdidos na conversão, o que pode levar à negação de serviço ou divulgação de informações”, alertou o boletim de segurança.
CVE-2022-42260, também na versão Linux do driver de exibição da GPU. Este é devido à preservação inadequada de permissões no arquivo de configuração do D-Bus. Um usuário não autorizado na VM convidada pode explorar esse bug em endpoints D-Bus protegidos, levando à execução de código, negação de serviço, escalonamento de privilégios, divulgação de informações ou adulteração de dados, disse o fabricante de chips.
Por fim, o CVE-2022-42261, uma falha no software de gerenciamento de GPU virtual, não valida adequadamente um índice de entrada, levando ao estouro do buffer, causando adulteração de dados, divulgação de informações ou negação de serviço.
Os 29 bugs detalhados no boletim de segurança afetam vários produtos de software Nvidia diferentes: GeForce, Studio, Nvidia RTX, Quadro, NVS e Tesla rodando em sistemas Windows. Além disso, GeForce, Nvidia RTX, Quadro, NVS e Tesla em dispositivos baseados em Linux.
A Nvidia não respondeu imediatamente a Strong The Onesobre se está ciente de que essas vulnerabilidades estão sendo exploradas na natureza, mas atualizaremos esta história à medida que aprendermos mais. ®
.
