Múltiples vulnerabilidades en controladores gráficos de NVIDIA 

NVIDIA ha lanzado actualizaciones de sus controladores gráficos para corregir múltiples vulnerabilidades, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicio (DoS), entre otros. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta” y 8 (ocho) de severidad “Media”. Las cuales se detallan a continuación: 

• CVE‑2022‑28181, de severidad alta, con puntuación de 8.5. Esta vulnerabilidad se debe a un problema en la capa de modo kernel, donde un usuario normal sin privilegios en la red puede causar una escritura fuera de los límites a través de un sombreador especialmente diseñado. Un atacante podría realizar ejecución remota de código (RCE), denegación de servicio (DoS), escalamiento de privilegios, divulgación de información y manipulación de datos. 

• CVE-2022-28182, de severidad alta, con puntuación de 8.5. Esta vulnerabilidad se debe a un problema en el controlador de modo de usuario DirectX11 (nvwgf2um/x.dll). Un atacante no autorizado podría provocar en la red una escritura fuera de los límites a través de un sombreador especialmente diseñado, lo que puede provocar ejecución remota de código (RCE) y denegación de servicio (DoS) 

• CVE-2022-28184, de severidad alta, con puntuación de 7.1. Esta vulnerabilidad se debe a un problema en el controlador de capa de modo kernel (nvlddmkm.sys) para DxgkDdiEscape, donde un usuario normal sin privilegios puede acceder a registros con privilegios de administrador. Un atacante podría aprovechar esta vulnerabilidad para realizar denegación de servicio (DoS), divulgación de información y manipulación de datos. 

Puede acceder al listado completo de las vulnerabilidades aquí 

Las versiones de los productos afectados de NVIDIA son:  

• GeForce: Windows – R510. Versiones anteriores a 512.77 5 
• Studio: Windows – R510. Versiones anteriores a la fecha 23 de mayo de 2022 

• NVIDIA RTX/Quadro, NVS: Windows – R510. Versiones anteriores a 512.78 y R470. Versiones anteriores a 473.47 
• Tesla: Windows – R510. Versiones anteriores a la fecha 23 de mayo de 2022, R470. Versiones anteriores a 473.47 y R450.  Versiones anteriores a 453.51 

Recomendamos instalar las actualizaciones correspondientes provistas por NVIDIA en el siguiente enlace: 

• https://nvidia.custhelp.com/app/answers/detail/a_id/5353 

Referencias: 

• https://www.securityweek.com/nvidia-patches-code-execution-vulnerabilities-graphics-driver 
• https://nvd.nist.gov/vuln/detail/CVE-2022-28181 
• https://nvd.nist.gov/vuln/detail/CVE-2022-28182 
• https://nvd.nist.gov/vuln/detail/CVE-2022-28184 

• https://nvidia.custhelp.com/app/answers/detail/a_id/5353