Nvidia risolve 5 falle di sicurezza Windows driver
Nvidia rilascia gli aggiornamenti software correttivi per i propri driver su Windows dopo l'annuncio di una serie di falle relative alla sicurezza.
Nvidia risolve 5 falle di sicurezza nei propri driver Windows per schede video GeForce, Quadro, NVS e Tesla. Tre dei problemi sono classificati come ‘serious’, le altre due vulnerabilità sono di tipo ‘medium’ risk. Nessuna delle issues può comunque essere lanciata in modalità remota.
Nvidia ha annunciato che i problemi saranno risolti nella security update di Agosto 2019, mentre i driver possono già da ora essere scaricati. NVIDIA ha rilasciato un upgrade della sicurezza del software per il display driver NVIDIA GPU. L’aggiornamento è indirizzato verso issues che potrebbero portare ad esecuzione di codice locale, denial of service, o escalation dei privilegi.
Dettagli
Questa sezione riassume i potenziali rischi corretti dalla security patch. Le descrizioni utilizzano CWE (Common Weakness Enumeration), mentre i punteggi base ed i vettori utilizzano lo standard CVSS V3.
| CWE | Desccrizione | Base score | Vector |
|---|---|---|---|
| CVE‑2019‑5683 | Il Display Driver GPU di NVIDIA per Windows contiene una vulnerabilità nel componente user mode video driver trace logger component. Quando un attaccante ha accesso al sistema e crea un hard link, il software non esegue un controllo verso gli attacchi hard link. Questo comportamento può portare ad esecuzione locale di codice, denial of service o escalation di privilegi. | 8.8 | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CVE‑2019‑5684 | Il Display Driver GPU di NVIDIA per Windowscontiene una vulnerabilità nei driver DirectX, in cui uno shader costruito appositamente potrebbe causare un accesso out of bounds di un input texture array, che a sua volta porterebbe a denial of service o esecuzione di codice. | 7.8 | AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CVE‑2019‑5685 | Il Display Driver GPU di NVIDIA per Windowscontiene una vulnerabilità nei driver DirectX, in cui uno shader costruito appositamente potrebbe causare un accesso out of bounds ad un array locale temporaneo di uno shader, che a sua volta porterebbe a denial of service o esecuzione di codice. | 7.8 | AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CVE‑2019‑5686 | Il Display Driver GPU di NVIDIA per Windows contiene una vulnerabilità nell'handler del kernel mode layer (nvlddmkm.sys) per DxgkDdiEscape, in cui il software utilizza una funzione API o una struttura dati in modo da fare riferimento a proprietà che non vengono sempre garantite come valide, e che potrebbe portare a denial of service. | 5.6 | AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H |
| CVE‑2019‑5687 | Il Display Driver GPU di NVIDIA per Windows contiene una vulnerabilità nell'handler del kernel mode layer (nvlddmkm.sys) per DxgkDdiEscape, in cuiun uso non corretto dei permessi di default di un oggetto lo espongono ad un uso improprio, e che potrebbe portare a rivelazione di informazioni private o a denial of service. | 5.2 | AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:L |
Il risk assessment NVIDIA è basato sul rischio medio relativo a diversi gruppi di installazioni, e potrebbe non rappresentare il rischio effettivo per il sistema locale preso in considerazione. NVIDIA raccomanda comunque di consultare un security IT manager per valutare il rischio nella situazione specifica.
Update di sicurezza
Le tabelle seguenti mostrano la lista dei prodotti software NVIDIA a rischio, le versioni coinvolte e quelle aggiornate su nvidia.com che includono questo update di sicurezza. Gli aggiornamenti sono disponibili sulla pagina NVIDIA Driver Downloads.
| Prodotto software | Sistema operativo | Versioni interessate | Versione aggiornata |
|---|---|---|---|
| GeForce | Windows | Tutte le versioni R430 antecedenti alla 431.60 | 431.60 |
| Quadro, NVS | Windows | Tutte le versioni R430 antecedenti alla 431.70 | 431.70 |
| Quadro, NVS | Windows | Tutte le versioni R418 antecedenti alla 426.00 | 426 |
| Quadro, NVS | Windows | Tutte le versioni R400 | Disponibile la settimana del 19 Agosto 2019 |
| Quadro, NVS | Windows | Tutte le versioni R390 antecedenti alla 392.56 | 392.56 |
| Tesla | Windows | Tutte le versioni R418 | Disponibile la settimana del 12 Agosto 2019 |
Note:
- Il vostro venditore di hardware può fornire i driver Nvidia Windows versione 431.23, 425.85, o 412.39 che contengono anch’essi gli aggiornamenti di sicurezza.
- Le tabelle potrebbero non avere la lista completa di tutte le versioni coinvolte o dei rilasci software, e verrà tenuta aggiornata quando le informazioni verranno rese disponibili.
- Anche le versioni di software precedenti a quelle riportate sono soggette alle issues. Se state utilizzando una versione precedente, eseguite un upgrade all’ultima versione.
- CVE‑2019‑5676 – Anche questo CVE, annunciato in precedenza, risulta ora corretto nell’update dei driver R390 per Windows 10. Questo CVE non ha a che fare con driver packages rilasciati dal venditore di hardware, e si applica esclusivamente ai packages scaricati dalla pagina pubblica dei download Nvidia.
