上周,科技巨头Nvidia发布了Nvidia GPU Display Driver中的多个安全漏洞的安全更新。这10个安全漏洞的CVSS 评分在5.5到7.8之间,影响的设备包括Windows和Linux机器。
漏洞分析
其中影响NVIDIA GPU显卡驱动的安全漏洞分别是:
CVE 2020 5962
CVE 2020 5962漏洞位于驱动的Nvidia Control Panel组件中,本地攻击者利用该漏洞可以破坏系统文件,引发DoS攻击或权限提升。
CVE 2020 5963
CVE 2020 5963 漏洞位于CUDA 驱动的 Inter Process Communication(进程间通信)API中,漏洞属于不当的访问安全漏洞,攻击者利用该漏洞可以进行代码执行、发起DoS攻击和信息泄露。
CVE 2020 5964
CVE 2020 5964漏洞是显卡驱动的服务主机组件中的错误,攻击者利用该漏洞可以绕过资源完整性检查,引发代码执行、服务拒绝、信息泄露攻击等。
CVE 2020 5965
CVE 2020 5965漏洞位于显卡的DirectX 11用户模式驱动中。攻击者利用精心伪造的着色器shader可以引发越界写、DoS等。目前该漏洞已被修复。
CVE 2020 5966
CVE 2020 5966是基于Windows的GPU显卡驱动的kernel模式层的漏洞,攻击者将空指针的间接引用武器化后可以进行权限提升或DoS 攻击。
CVE 2020 5967
CVE 2020 5967是驱动的UVM 服务的Linux版本中的安全漏洞,攻击者利用漏洞中的竞争条件错误可以引发DoS拒绝服务攻击。
其中边界限制错误、资源验证问题、缓存错误可以被滥用来进行代码执行、服务修改、权限提升和DoS攻击。
其中影响NVIDIA 虚拟GPU管理器中的vGPU插件的安全漏洞有:
CVE 2020 5968
CVE 2020 5968漏洞CVSS评分为7.8,其中软件没有对使用索引或指针访问的资源边界进行限制。攻击者利用该漏洞可以实现代码执行、DoS、权限提升或信息泄露。
CVE 2020 5969
CVE 2020 5969漏洞CVSS评分为7.8。由于在使用前没有验证共享的资源,导致竞争条件可能会引发DoS或信息泄露。
CVE 2020 5970
CVE 2020 5970漏洞CVSS评分为7.8。由于没有对输入数据大小进行验证,可能会导致DoS。
CVE 2020 5971
CVE 2020 5971漏洞CVSS评分为7.8。软件在使用缓存访问机制从缓存中读取数据可能会导致代码执行、DoS、权限提升、信息泄露等。
CVE 2020 5972
CVE 2020 5972漏洞CVSS评分为5.5分。由于本地指针变量没有初始化,而且之后可能会释放,引发DoS。
CVE 2020 5973
CVE 2020 5973漏洞CVSS评分为4.4分.攻击者利用该漏洞可以执行权限提升操作,并可能引发DoS。
漏洞影响和修复
漏洞影响Windows和 Linux vGPU客户驱动软件,包括Citrix Hypervisor、VMware vSphere、Red Hat Enterprise Linux with KVM和Nutanix AHV。
其中影响Windows机器的漏洞有:
其中影响Linux机器的漏洞有:
CVE 2020 5968, CVE 2020 5969, CVE 2020 5970, CVE 2020 5971, CVE 2020 5972, CVE 2020 5973漏洞目前已经发布了安全补丁。最新版本的vGPU 也将于7月6日发布。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。