Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a GPU Display Drivers y vGPU Software de NVIDIA, que permitirían a un atacante realizar denegación de servicio (DoS), escalamiento de privilegios, divulgación de información, entre otros.
Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Alta”, 9 (nueve) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-0189 de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el driver de capa de modo kernel en NVIDIA GPU Display Driver para Linux. Esto permitiría a un atacante realizar ejecución de código, escalamiento de privilegios, divulgación y modificación de información, así como provocar denegación de servicios (DoS) en el sistema afectado.
- CVE-2023-0184 de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el driver de capa de modo kernel en NVIDIA GPU Display Driver para Linux y Windows. Esto permitiría a un atacante obtener escalamiento de privilegios, divulgación y modificación de información, e incluso provocar denegación de servicios (DoS) en el sistema afectado.
- CVE-2023-0182, de severidad “Alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad del tipo out-of-bounds write se debe a una falla de gestión de memoria en la capa de modo kernel en NVIDIA GPU Display Driver para Windows. Esto permitiría a un atacante realizar divulgación y modificación de información, así como provocar denegación de servicios (DoS) en el sistema afectado.
Se puede acceder al listado completo de vulnerabilidades aquí
Los productos afectados son:
- GeForce (Linux), driver R530 todas las versiones anteriores a 530.41.03.
- GeForce (Windows), driver R530 todas las versiones anteriores a 531.41.
- NVIDIA RTX, Quadro, NVS (Linux), driver R525 todas las versiones anteriores a 525.105.17.
- NVIDIA RTX, Quadro, NVS (Windows), driver R525 todas las versiones anteriores a 528.89.
Puede acceder al listado completo de productos afectados en el siguiente enlace
Recomendamos acceder a la actualización correspondientes proporcionada por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/nvidia-addresses-critical-security-flaws-in-gpu-display-drivers-and-vgpu-software/
- https://nvidia.custhelp.com/app/answers/detail/a_id/5452
- https://nvd.nist.gov/vuln/detail/CVE-2023-0189
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0184
- https://nvd.nist.gov/vuln/detail/CVE-2023-0182
- https://www.nvidia.com/Download/index.aspx