Vulnerabilidades en NVIDIA GPU Display Driver y NVIDIA vGPU Software afectan a Windows y Linux.

NVIDIA ha lanzado una actualización de seguridad de software para NVIDIA® GPU Display Driver y NVIDIA vGPU Software. Esta actualización aborda problemas que pueden conducir a la denegación de servicio, escalada de privilegios, manipulación de datos o divulgación de información, entre otros.

Estas vulnerabilidades han sido identificadas como:

En Windows:

En Linux:

A continuación se detallan aquellas para NVIDIA GPU DISPLAY DRIVER, de criticidad alta:

• El CVE‑2021-1051, contiene una vulnerabilidad en el controlador de capa de modo kernel (nvlddmkm.sys) para DxgkDdiEscape, en Windows, en el que se realiza una operación que puede provocar la denegación de servicio o la escalada de privilegios.
• El CVE‑2021-1052, contiene una vulnerabilidad en el controlador de capa de modo kernel (nvlddmkm.sys) para DxgkDdiEscape o IOCTL, en Windows y Linux, en el que los clientes en modo de usuario pueden acceder a APIs con privilegios heredados, lo que puede conducir a la denegación de servicio, escalada de privilegios y divulgación de información.
• El CVE‑2021-1053, contiene una vulnerabilidad en el controlador de capa de modo kernel (nvlddmkm.sys) para DxgkDdiEscape o IOCTL, en Windows y Linux, en la que la validación incorrecta de un puntero de usuario puede llevar a la denegación de servicio.
• El CVE‑2021-1054, contiene una vulnerabilidad en el controlador de la capa de modo kernel (nvlddmkm.sys) para DxgkDdiEscape, en Windows, en la que el software no realiza o realiza incorrectamente una verificación de autorización cuando un actor intenta acceder a un recurso o realizar una acción, lo que puede llevar a la denegación de servicio.

A continuación se detallan las vulnerabilidades que afectan a NVIDIA VGPU SOFTWARE, de criticidad alta:

• El CVE‑2021-1057, contiene una vulnerabilidad en el complemento vGPU en la que permite a los invitados asignar algunos recursos para los cuales el invitado no está autorizado, lo que puede provocar la pérdida de integridad y confidencialidad, la denegación de servicio o la divulgación de información
• El CVE‑2021-1058, contiene una vulnerabilidad en el controlador del modo de kernel invitado y el complemento vGPU, en el que el tamaño de los datos de entrada no se valida, lo que puede provocar la alteración de los datos o la denegación de servicio.
• El CVE‑2021-1059, contiene una vulnerabilidad en el complemento vGPU, en la que un índice de entrada no se valida, lo que puede provocar un desbordamiento de enteros, lo que a su vez puede provocar la manipulación de datos, la divulgación de información o la denegación de servicio.
• El CVE‑2021-1060, contiene una vulnerabilidad en el controlador del modo de kernel invitado y el complemento vGPU, en el que un índice de entrada no se valida, lo que puede provocar la manipulación de datos o la denegación de servicio.
• El CVE‑2021-1061, contiene una vulnerabilidad en el complemento vGPU, en la que una condición de carrera puede hacer que el complemento vGPU continúe usando un recurso previamente validado que ha cambiado desde entonces, lo que puede llevar a la denegación de servicio o la divulgación de información.
• El CVE‑2021-1062, contiene una vulnerabilidad en el complemento vGPU, en la que no se valida la longitud de los datos de entrada, lo que puede provocar la alteración de los datos o la denegación de servicio
• El CVE‑2021-1063, contiene una vulnerabilidad en el complemento vGPU, en la que no se valida un desplazamiento de entrada, lo que puede provocar una lectura excesiva del búfer, que a su vez puede provocar la alteración de los datos, la divulgación de información o la denegación de servicio.
• El CVE‑2021-1064, contiene una vulnerabilidad en el complemento vGPU, en la que obtiene un valor de una fuente que no es de confianza, convierte este valor en un puntero y elimina las referencias del puntero resultante, lo que puede conducir a la divulgación de información o la denegación de servicio.
• El CVE‑2021-1065, contiene una vulnerabilidad en el complemento vGPU, en la que los datos de entrada no se validan, lo que puede provocar la alteración de los datos o la denegación de servicio

Recomendaciones de seguridad

Descargue e instale la actualización de software desde la página de descargas de controladores de NVIDIA o, para la actualización de software de vGPU, desde el portal de licencias de NVIDIA.

Referencias

• https://nvidia.custhelp.com/app/answers/detail/a_id/5142/kw/Security%20Bulletin
• https://www.nvidia.com/Download/index.aspx