上周,科技巨头Nvidia发布了针对NvidiaGPU显示驱动多个安全漏洞的安全更新。这10个漏洞的CVSS评分在5.5到7.8之间,影响的设备包括Windows和Linux机器。漏洞分析影响NVIDIAGPU显卡驱动的安全漏洞有:CVE?2020?5962CVE?2020?5962位于驱动的Nvidia控制面板组件中。本地攻击者可以利用该漏洞破坏系统文件,造成DoS攻击或提权。CVE?2020?5963CVE?2020?5963漏洞位于CUDA驱动的进程间通信(InterProcessCommunication)API中。该漏洞为不当访问安全漏洞。攻击者可以利用该漏洞执行代码、发起DoS攻击和信息泄露。CVE?2020?5964CVE?2020?5964是显卡驱动程序的服务主机组件中的错误。攻击者可以利用该漏洞绕过资源完整性检查,造成代码执行、服务拒绝和信息泄露等攻击。CVE?2020?5965CVE?2020?5965漏洞存在于显卡的DirectX11用户模式驱动程序中。攻击者可以通过使用精心伪造的着色器造成越界写入、DoS等。该漏洞现已修复。CVE?2020?5966CVE?2020?5966是基于Windows的GPU显卡驱动内核模式层的漏洞。攻击者将空指针的间接引用武器化后,可以进行提权或DoS攻击。CVE?2020?5967CVE?2020?5967是驱动程序的UVM服务的Linux版本中的安全漏洞。攻击者可以利用漏洞中的竞争条件错误触发DoS拒绝服务攻击。边界限制错误、资源验证问题和缓存错误可能被滥用于代码执行、服务修改、权限提升和DoS攻击。其中影响NVIDIAvirtualGPUmanager中vGPU插件的安全漏洞为:CVE-2020-5968CV??E-2020-5968漏洞CVSS评分为7.8,其中软件不限制使用索引访问的资源边界或指针。攻击者可利用此漏洞实现代码执行、DoS、提权或信息泄露。CVE?2020?5969CVE?2020?5969漏洞的CVSS评分为7.8。由于共享资源在使用前未经过验证,竞争条件可能导致DoS或信息泄露。CVE?2020?5970CVE?2020?5970漏洞的CVSS评分为7.8。由于缺乏对输入数据大小的验证,可能会导致DoS。CVE?2020?5971CVE?2020?5971漏洞的CVSS评分为7.8。使用缓存访问机制从缓存中读取数据的软件可能会导致代码执行、DoS、提权、信息泄露等。CVE?2020?5972CVE?2020?5972漏洞的CVSS评分为5.5。引发DoS是因为局部指针变量未初始化并且稍后可能会被释放。CVE?2020?5973CVE?2020?5973漏洞的CVSS评分为4.4。攻击者可以利用该漏洞进行提权操作,并可能导致DoS。漏洞影响和修复该漏洞影响Windows和LinuxvGPU来宾驱动程序软件,包括CitrixHypervisor、VMwarevSphere、RedHatEnterpriseLinuxwithKVM和NutanixAHV。影响Windows机器的漏洞有:影响Linux机器的漏洞有:CVE?2020?5968、CVE?2020?5969、CVE?2020?5970、CVE?2020?5971、CVE?2020?5972、CVE?2020?漏洞5973已经发布了安全补丁。最新版本的vGPU也将于7月6日发布。
