NVIDIA выпустила обновление безопасности для драйвера GPU, устраняющее несколько уязвимостей в версиях для Windows и Linux. Некоторые из ошибок могли привести к утечке данных, отказу в обслуживании или несанкционированному доступу к файлам. Владельцам видеокарт NVIDIA рекомендуется как можно скорее установить обновления, чтобы минимизировать потенциальные риски.
Одна из наиболее серьезных уязвимостей, обозначенная как CVE-2024-0150 (оценка CVSS: 7.1), связана с некорректной работой с памятью – данные могут записываться за границы буфера, что приводит к повреждению информации, возможности перехвата данных и потенциальному отказу в обслуживании.
Еще одна проблема – CVE-2024-0147 (оценка CVSS: 5.5) – заключается в использовании памяти после ее освобождения (Use-After-Free, UAF). Подобная ошибка может спровоцировать сбои в работе системы или изменить данные, что создает опасность для пользователей, работающих с критически важными программами.
В Linux-версии драйверов была найдена уязвимость CVE-2024-53869 (оценка CVSS: 5.5), связанная с модулем Unified Memory. Недостаток позволял получить доступ к неинициализированной памяти, что потенциально приводило к утечке конфиденциальных данных.
Уязвимость CVE-2024-0131 (оценка CVSS: 4.4), присутствующая как в Windows-, так и в Linux-драйверах, связана с возможностью чтения буфера с некорректной длиной, что могло вызвать отказ в обслуживании. Несмотря на средний уровень опасности ошибки, пользователям рекомендуется обновиться, чтобы избежать потенциальных проблем.
Также в версии для Linux обнаружена уязвимость CVE-2024-0149(оценка CVSS: 3.3), связанная с возможностью несанкционированного доступа к файлам.
Проблемы в NVIDIA vGPU: опасность для виртуализации
Дополнительные уязвимости были выявлены в программном обеспечении NVIDIA vGPU, используемом в виртуализированных средах. Одной из наиболее серьезных стала CVE-2024-0146 (оценка CVSS: 7.8), обнаруженная в Virtual GPU Manager, которая позволяла хакеру из гостевой системы вызвать повреждение памяти на хосте, что могло привести к выполнению произвольного кода, отказу в обслуживании, утечке информации или изменению данных.
Другой серьезной проблемой стала CVE-2024-53881 (оценка CVSS: 5.5), связанная с драйвером хоста NVIDIA vGPU. Ошибка позволяла гостевой системе создавать волну прерываний на хосте, перегружая его и вызывая отказ в обслуживании. Хотя недостаток среднего уровня опасности, в условиях виртуализированных сред эксплуатация могла привести к значительным последствиям.
Какие драйверы требуют обновления
Обновления выпущены для нескольких веток драйверов NVIDIA, используемых в Windows и Linux. В частности:
- Windows: исправления получили версии R535, R550, R560 и R565;
- Linux: обновления затронули ветки R535 и R550.
Среди конкретных продуктов, требующих обновления:
- NVIDIA RTX, Quadro, NVS (Windows): обновленные версии 553.62 (R550) и 539.19 (R535);
- Tesla (Windows): те же версии драйверов, что и для Quadro;
- GeForce (Linux): исправления включены в 550.144.03 (R550) и 535.230.02 (R535).
Для vGPU обновления доступны через NVIDIA Licensing Portal, причем исправления касаются гостевых драйверов, виртуального GPU Manager и драйверов хоста.
Специалисты рекомендуют немедленно обновить драйверы NVIDIA, особенно тем, кто использует виртуализацию или графические процессоры в критически важных вычислениях. Несмотря на то, что большинство уязвимостей требуют локального доступа для эксплуатации, возможность утечки данных и сбоев делает их потенциально опасными.