NVIDIA发布了各种显卡型号的安全更新,解决了其GPU驱动程序中的四个高危漏洞和六个中危漏洞。该安全更新修复了可能导致拒绝服务、信息泄露、特权提升、代码执行等的漏洞。这些更新已经应用于Tesla、RTX/Quadro、NVS、Studio和GeForce软件产品,涵盖R450、R470、R510等驱动类型。有趣的是,除了当前和最近的主动支持阵容外,NVIDIA的更新还涵盖了GTX600和GTX700Kepler系列显卡,这两款显卡已于2021年10月停产。NVIDIA此前承诺将继续为这些产品提供关键安全更新,直到2024年9月,此驱动程序更新兑现了这一承诺。本月修复的四个高危漏洞是:CVE-2022-28181(CVSSv3得分:8.5)-由通过网络发送的特制着色器引起的内核模式层越界写入,这可能会导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。CVE-2022-28182(CVSSv3分数:8.5)-DirectX11用户模式驱动程序中的缺陷可能允许未经授权的攻击者通过网络发送特制共享并导致拒绝服务、特权升级、信息泄露和数据丢失篡改。CVE-2022-28183(CVSSv3分数:7.7)-内核模式层中的一个漏洞,非特权普通用户可能会导致越界读取,从而导致拒绝服务和信息泄露。CVE-2022-28184(CVSSv3分数:7.1)-DxgkDdiEscape的内核模式层(nvlddmkm.sys)处理程序中的漏洞可能允许普通非特权用户访问管理员特权寄存器,这可能导致拒绝服务、信息泄露和数据篡改。这些漏洞的权限要求低,不需要用户交互,因此可以融入恶意软件,让攻击者以更高的权限执行命令。前两个可以通过网络利用,而另外两个可以通过本地访问利用,这对于感染低权限系统的恶意软件仍然有帮助。发现CVE-2022-28181和CVE-2022-28182的CiscoTalos今天还发表了一篇文章,详细介绍了他们如何通过提供格式错误的计算着色器来触发内存损坏漏洞,威胁参与者可以通过恶意着色器中的WebAssembly和WebGL利用该漏洞在浏览器中使用。关于CVE-2022-28181,Talos表示“特制的可执行文件/着色器文件可能会导致内存损坏。运行虚拟化环境(即VMware、qemu、VirtualBox等)的虚拟机可能会触发此漏洞以执行虚拟机器托管理论上这也可以由使用webGL和webassembly的网络浏览器触发。”有关本月涵盖的所有修复以及每个软件和硬件产品的更多详细信息,请查看NVIDIA官方网站上的安全公告。建议所有用户尽快应用已发布的安全更新。用户可以从NVIDIA的下载中心找到他们模型的最新更新。但是,如果用户不是特别需要该软件来保存游戏配置文件或使用其流媒体功能,NVIDIA建议不要使用它,因为它会带来不必要的安全风险和资源占用。参考来源:https://www.bleepingcomputer.com/news/security/nvidia-fixes-ten-vulnerabilities-in-windows-gpu-display-drivers/
