Este mês, a actualização dos drivers para as GPU da Nvidia e software relacionado resolvem oito vulnerabilidades importantes. Todas elas, excepto uma, permitem a execução de código e abrem vectores para elevação de privilégios nos sistemas operativos, manipulação de dados, ataques de negação de serviço e roubo de informação. Os utilizadores são aconselhados a actualizar o software mais o mais depressa possível.
Seis CVE são resolvidas no driver principal da GPU, enquanto as duas restantes — incluindo a única falha que não permitia potencialmente a execução de código — foram resolvidas no software vGPU da Nvidia.
Cinco das vulnerabilidades relevantes estavam nos drivers da GPU para Windows. Todas exploravam erros na camada do modo de utilizador e podiam permitir a leitura de dados fora do intervalo de memória especificado, inclusive para fins de execução de código, etc. Um dos problemas de segurança afectava as versões Windows e Linux do driver da GPU, permitindo que atacantes elevassem as permissões dentro da aplicação.
As duas vulnerabilidades de software vGPU da Nvidia resolvidas têm algumas semelhanças. Ainda assim, a exploração de vGPU de maior severidade que poderia permitir a execução de código, envolvia a exploração de uma vulnerabilidade no driver do kernel da GPU, que permitia “validação de entrada incorrecta ao comprometer o kernel do sistema operativo hóspede”. O problema de segurança ligeiramente menos grave estava no Virtual GPU Manager, que permitia que recursos globais do sistema fora dos limites do software vGPU fossem utilizados e potencialmente abrissem vectores de ataque.
O boletim de segurança Nvidia inclui links e informações mais detalhadas sobre as CVE e os patches de segurança relevantes. A Nvidia aconselha todos os utilizadores a actualizarem o software das suas placas gráficas e GPU o mais depressa possível.