Vulnerabilidades de denegación de servicio (DoS) y escalamiento de privilegios en productos NVIDIA

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a GPU Display Drivers y vGPU Software de NVIDIA, que permitirían a un atacante realizar denegación de servicio (DoS), escalamiento de privilegios, divulgación de información, entre otros. 

Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Alta”, 9 (nueve) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2023-0189 de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el driver de capa de modo kernel en NVIDIA GPU Display Driver para Linux. Esto permitiría a un atacante realizar ejecución de código, escalamiento de privilegios, divulgación y modificación de información, así como provocar denegación de servicios (DoS) en el sistema afectado. 

• CVE-2023-0184 de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el driver de capa de modo kernel en NVIDIA GPU Display Driver para Linux y Windows. Esto permitiría a un atacante obtener escalamiento de privilegios, divulgación y modificación de información, e incluso provocar denegación de servicios (DoS) en el sistema afectado. 

• CVE-2023-0182, de severidad “Alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad del tipo out-of-bounds write se debe a una falla de gestión de memoria en la capa de modo kernel en NVIDIA GPU Display Driver para Windows. Esto permitiría a un atacante realizar divulgación y modificación de información, así como provocar denegación de servicios (DoS) en el sistema afectado. 

Se puede acceder al listado completo de vulnerabilidades aquí 

Los productos afectados son: 

• GeForce (Linux), driver R530 todas las versiones anteriores a 530.41.03. 

• GeForce (Windows), driver R530 todas las versiones anteriores a 531.41. 
• NVIDIA RTX, Quadro, NVS (Linux), driver R525 todas las versiones anteriores a 525.105.17. 
• NVIDIA RTX, Quadro, NVS (Windows), driver R525 todas las versiones anteriores a 528.89. 

Puede acceder al listado completo de productos afectados en el siguiente enlace 

Recomendamos acceder a la actualización correspondientes proporcionada por el fabricante en el siguiente enlace: 

• https://www.nvidia.com/Download/index.aspx 

Referencias: 

• https://securityonline.info/nvidia-addresses-critical-security-flaws-in-gpu-display-drivers-and-vgpu-software/ 
• https://nvidia.custhelp.com/app/answers/detail/a_id/5452 
• https://nvd.nist.gov/vuln/detail/CVE-2023-0189 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0184 
• https://nvd.nist.gov/vuln/detail/CVE-2023-0182 
• https://www.nvidia.com/Download/index.aspx