Nvidia a corrigé plus de deux douzaines de failles de sécurité dans son pilote d’affichage GPU, dont la plus grave pourrait permettre à un utilisateur non privilégié de modifier des fichiers, puis d’augmenter les privilèges, d’exécuter du code, de falsifier ou de voler des données, ou même de prendre le contrôle de votre appareil.
Au total, le fabricant de puces a corrigé 29 vulnérabilités affectant les produits Windows et Linux, dont 10 bogues de haute gravité.
Nvidia ne publie pas une tonne d’informations techniques sur les failles pour s’assurer que les clients peuvent corriger leurs systèmes avant que les malfaiteurs ne trouvent l’exploitation de ces vulnérabilités – espérons-le – mais voici ce que nous savons sur les problèmes de sécurité.
Le plus grave du groupe, suivi comme CVE-2022-34669, affecte la version Windows du pilote d’affichage GPU et a reçu un score CVSS de 8,8.
Selon Nvidia, cette vulnérabilité pourrait permettre « à un utilisateur régulier non privilégié [to] accéder ou modifier des fichiers système ou d’autres fichiers critiques pour l’application. c’est noté.
Une autre faille de haute gravité (CVE-2022-34671) qui affecte également le produit Windows et a reçu une note CVSS de 8,5 existe dans la couche de mode utilisateur du pilote d’affichage GPU. Celui-ci pourrait permettre à un utilisateur non privilégié de provoquer une écriture hors limites, entraînant également l’exécution de code, un déni de service, une élévation de privilèges, la divulgation d’informations ou la falsification de données, selon Nvidia.
Quatre autres ont reçu 7,8 scores CVSS. Elles sont:
CVE-2022-34672, une vulnérabilité dans le panneau de configuration de Windows qui pourrait permettre à un utilisateur non autorisé d’obtenir des privilèges, de lire des informations sensibles et d’exécuter des commandes.
CVE-2022-34670, qui se trouve dans le gestionnaire de couche en mode noyau du pilote d’affichage GPU pour Linux. “Un utilisateur régulier non privilégié peut provoquer des erreurs de troncation lorsque la conversion d’une primitive en une primitive de plus petite taille entraîne la perte de données lors de la conversion, ce qui peut entraîner un déni de service ou la divulgation d’informations”, a averti le bulletin de sécurité.
CVE-2022-42260, également dans la version Linux du pilote d’affichage GPU. Celui-ci est dû à une mauvaise conservation des permissions dans le fichier de configuration de D-Bus. Un utilisateur non autorisé dans la machine virtuelle invitée pourrait exploiter ce bogue sur des terminaux D-Bus protégés, entraînant l’exécution de code, un déni de service, une élévation des privilèges, la divulgation d’informations ou la falsification de données, a déclaré le fabricant de puces.
Enfin, CVE-2022-42261, une faille dans le logiciel de gestion du GPU virtuel, ne valide pas correctement un index d’entrée, entraînant un dépassement de la mémoire tampon, provoquant une falsification des données, la divulgation d’informations ou un déni de service.
Les 29 bogues détaillés dans le bulletin de sécurité affectent plusieurs produits logiciels Nvidia différents : GeForce, Studio, Nvidia RTX, Quadro, NVS et Tesla fonctionnant sur les systèmes Windows. Plus GeForce, Nvidia RTX, Quadro, NVS et Tesla sur les appareils basés sur Linux.
Nvidia n’a pas immédiatement répondu à Le registres’interroge pour savoir s’il est au courant de l’exploitation de ces vulnérabilités dans la nature, mais nous mettrons à jour cette histoire au fur et à mesure que nous en apprendrons davantage. ®
