Отказ в обслуживании, локальная эскалация привилегий и раскрытие информации не являются проблемами безопасности, которые большинство пользователей компьютеров связывают со своей пикантной видеокартой или ее драйверами.
И все же исправления именно этих проблем являются частью февральского обновления NVIDIA GPU display, все из которых могут скомпрометировать ПК с Windows или Linux, позволяя злоумышленнику получить локальный доступ после атаки вредоносного ПО.
Для чего нужны видеокарты Tesla и Quadro? Чем вообще проф. карты отличаются от “не проф.”.
Всего обновление охватывает пять уязвимостей desktop CVE, включая одну, CVE‑2020‑5957, оцененную как критическая. Это происходит в панели управления Windows GPU Display Driver для продуктов GeForce, Quadro NVS и Tesla, что приводит к повреждению системного файла и эскалации привилегий или отказу в обслуживании.
Вторым недостатком панели управления, влияющим на те же продукты, является CVE‑2020‑5958, который может позволить посадить вредоносный DLL-файл с теми же результатами, что и выше, а также раскрыть информацию.
Виртуальный менеджер GPU получает три исправления, адресуемые CVE-2020-5959, CVE‑2020‑5960 и CVE‑2020‑5961, причем первое из них оценивается как критическое.
Nvidia также готовит отдельные обновления для своих корпоративных продуктов, а именно Virtual GPU Manager (различные гипервизоры) и vGPU graphics driver для гостевых ОС (Windows и Linux), на которые также влияют некоторые из вышеперечисленных недостатков.
В зависимости от затронутой версии драйвера они доступны в марте 2020 года, а обновления в течение апреля обещаны для организаций, использующих версию 10.0 или 10.1 для любого из вышеперечисленных продуктов.
В наши дни обновление графических драйверов должно быть частью цикла исправлений автономного пользователя наряду с патчами Microsoft Tuesday, обычными патчами процессоров Intel и продуктов, не забывая о браузерах и отдельных продуктах, таких как Adobe PDF Reader и различные плагины .
Nvidia отправляет исправления для своих продуктов почти каждый месяц, а пропущенные месяцы компенсируются двумя выпусками в следующем месяце.
Почти все они включают критические обновления для серьезных уязвимостей, которые могут вызвать серьезные проблемы, если их оставить незащищенными.
Обновление ноября 2019 года исправило 11 в основном серьезных недостатков в своих настольных продуктах, в то время как август 2019 года увидел аналогичную историю.