Nvidia meldt een aantal zorgwekkende beveiligingsproblemen in de drivers van zijn grafische kaarten en raadt aan om deze zo snel mogelijk te updaten. Er zijn maar liefst vijf beveiligingsbugs in de drivers ontdekt, die allemaal hoog scoren op de CVSS-kwetsbaarheidsschaal.
De gevaarlijkste in het rijtje lijkt CVE-2021-1074 te zijn, die 7,5 op 10 scoort op de CVSS-schaal. Deze bug is gevonden in het installatieprogramma van het Nvidia-stuurprogramma en zou een aanvaller met fysieke toegang in staat kunnen stellen om een applicatiebron te verwisselen met kwaadaardige bestanden. Dit kan leiden tot het uitvoeren van kwaadaardige code, een denial of service-aanval of het stelen van persoonlijke informatie.
CVE-2021-1075 is een andere zeer ernstige bug (met een score van 7,3 op de CVSS-schaal) en bevindt zich in de nvlddmkm.sys handler voor DxgkDdiEscape. Het programma derefereert een pointer die een geheugenlocatie bevat die niet langer geldig is, wat kan leiden tot het uitvoeren van code, denial of service, of escalatie van privileges.
CVE-2021-1076 is een medium-severity bug gevonden in de Nvidia GPU Display Driver voor Windows en Linux's kernel mode layer, waar kwaadwillende gebruikers misbruik kunnen maken van onjuiste toegangscontrole om denial of service, informatiediefstal of datacorruptie aanvallen te lanceren.
CVE-2021-1077 is een gemiddeld risico in de Windows- en Linux-stuurprogramma's, waar het stuurprogramma een referentietelling gebruikt om een bron te beheren die onjuist wordt bijgewerkt, wat kan leiden tot ontzegging van de dienst.
Daarnaast is met CVE-2021-1078 ook nog een andere bug van gemiddelde ernst gevonden. Deze is ontdekt in alle versies van het Windows Nvidia-stuurprogramma en tast de kernel aan. Een NULL pointer deference zou vervolgens kunnen leiden tot het crashen van je pc.
En omdat slecht nieuws zelden alleen komt, heeft Nvidia ook nog acht softwarekwetsbaarheden in zijn vGPU-software bekendgemaakt. Deze treffen werkstations en AI-werklasten en zijn allemaal van gemiddelde tot hoge ernstgraad.
Bronnen: Techradar, ThreatPost
