Компания NVIDIA раскрыла сведения о серии уязвимостей в проприетарных драйверах к GPU и VGPU, которые устранены в недавно выпущенных обновлениях 550.90.07, 535.183.01 и 470.256.02.
- CVE‑2024‑0090 — ошибка, приводящая к записи за пределы выделенного буфера. Потенциально уязвимость может быть эксплуатирована для повышения привилегий или выполнения кода атакующего. Проблема проявляется в драйверах для Linux и Windows. Уровень опасности 7.8 из 10.
- CVE‑2024‑0091 — разыменование указателя при манипуляциях с API драйвера. Успешная эксплуатация уязвимости может привести к отказу в обслуживании, утечке информации или фальсификации данных. Проблема проявляется в драйверах для Linux и Windows. Уровень опасности 7.8 из 10.
- CVE‑2024‑0093 — предоставление доступа к внутренней информации пользователям, не авторизированным на получение подобных данных. Успешная эксплуатация уязвимости может привести к утечке информации. Проблема проявляется в драйверах для Linux и Windows. Уровень опасности 6.5 из 10.
- CVE‑2024‑0092 — некорректная проверка и обработка исключений. Проблема может привести к отказу в обслуживании. Уязвимость проявляется в драйверах для Linux и Windows. Уровень опасности 5.5 из 10.
- CVE‑2024‑0089 — утечка информации, оставшейся после предыдущего клиента или процесса. Проблема проявляется только в драйверах для Windows. Уровень опасности 7.8 из 10.
- Пять уязвимостей в драйверах для виртуального GPU NVIDIA (vGPU), из которых три потенциально позволяют выполнить привилегированные операции на стороне хост-окружения через манипуляции в гостевой системе (CVE‑2024‑0099, CVE‑2024‑0084) или выполнения действий непривилегированным пользователем (CVE‑2024‑0085) .
Источник: http://www.opennet.ru/opennews/art.shtml?num=61337