NVIDIA GeForce Experience oraz GPU Display Driver

NVIDIA załatała zestaw poważnych luk w zabezpieczeniach oprogramowania graficznego GeForce Experience i sterownika karty graficznej GPU Display Driver.

7 listopada 2019 roku, firma opublikowała dwa osobne raporty bezpieczeństwa wyszczególniające luki w zabezpieczeniach. Najgorsze z nich mogły prowadzić do wykonania kodu lub ujawnienia informacji.

NVIDIA GeForce Experience

Geforce Experience NVIDIA

Geforce Experience NVIDIA

Z NVIDIA GeForce Experience zostało usuniętych kilkanaście błędów (Doliczyliśmy się 11 luk). Najważniejsze 3 wymieniamy poniżej

Luka pierwsza – CVE – 2019‑5701

Błąd dotyczył GameStream. Po włączeniu atakujący z dostępem lokalnym mógł załadować biblioteki DLL sterowników grafiki Intel bez sprawdzania poprawności ścieżki, co mogło potencjalnie prowadzić do wykonania dowolnego kodu, eskalacji uprawnień, ataku DoS lub ujawnienia informacji.

Druga luka – CVE – 2019–5689

Błąd wystąpił w programie do pobierania NVIDIA GeForce. Osoba atakująca mogła stworzyć i wykonać kod do przesyłania i zapisywania złośliwych plików, co podobnie jak w poprzednim przypadku mogło spowodować wykonanie kodu, DoS lub wyciek informacji.

Luka trzecia – CVE – 2019-59595

Ważna usterka bezpieczeństwa została wykryta w komponencie GeForce. Osoba atakująca potrzebowała co prawda lokalnego i uprzywilejowanego dostępu, ale z nim możliwe było użycie nieprawidłowego ładowania biblioteki DLL systemu Windows w celu przeprowadzenia ataku DoS lub kradzieży danych.

Usunięto sześć luk w sterowniku karty graficznej NVIDIA dla Windows. Najbardziej krytycznym z nich, CVE – 2019–5690, był problem z obsługą warstwy jądra systemu. Rozmiar danych wejściowych nie był weryfikowany, co prowadziło do ataku DoS lub eskalacji uprawnień.

Dwa inne błędy, CVE ‑ 2019‑5692 i CVE ‑ 2019‑5693, znalazły się w module obsługi trybu trybu jądra. Pierwszy dotyczy niezaufanych danych wejściowych podczas obliczania lub korzystania z indeksu tablicy, co prowadzi do eskalacji uprawnień lub odmowy usługi, natomiast drugi błąd bezpieczeństwa dotyczy sposobu, w jaki program uzyskuje dostęp do wskaźników lub korzysta z nich. W przypadku wykorzystania ten problem może prowadzić do odmowy usługi.

GPU Display Driver

Sterownik ekranu zawierał także CVE ‑ 2019‑5694 i CVE ‑ 2019–5695, niepoprawne problemy z ładowaniem biblioteki DLL, które można wykorzystać do ujawnienia DoS lub ujawnienia informacji.

Nvidia usunęła także trzy luki w Virtual Virtual GPU Manager. CVE ‑ 2019‑5696 jest luką w zabezpieczeniach, która może prowadzić do niezwiązanego dostępu przez maszynę wirtualną gościa, podczas gdy CVE ‑ 2019‑5697 może zostać wykorzystany do zapewnienia gościa dostępu do pamięci, której nie jest właścicielem, co prowadzi do DoS lub wycieki informacji.

Ostatni błąd, CVE ‑ 2019‑5698, znajduje się we wtyczce vGPU i dotyczy nieprawidłowej weryfikacji wartości indeksu wejściowego. W przypadku wykorzystania ta wada bezpieczeństwa może również prowadzić do odmowy usługi.

Źródło:
1) https://xopero.com/blog/pl/2019/11/12/nvidia-geforce-do-pilnej-aktualizacji-exaas/

2) https://www.zdnet.com/article/nvidia-patches-severe-geforce-gpu-vulnerabilities/