NVIDIA坦承驅動程式隱含高風險漏洞,建 - 3C
By Lucy
at 2019-03-05T10:17
at 2019-03-05T10:17
Table of Contents
NVIDIA坦承驅動程式隱含高風險漏洞,建議升級至419.17之後版本
https://goo.gl/UK2iAF
NVIDIA於2月底在技術支援網頁發表的資安公告中,提到包含GeForce、Quadro、NVS、
Tesla等產品在內的繪圖處理器驅動程式具有漏洞,使用者可能因此受阻斷服務攻擊、特
權提升、執行任意程式碼、資料外洩等資安風險危害,並建議將驅動程式升級至419.17之
後版本。
Windows影響最深
根據NVIDIA在《Security Bulletin: NVIDIA GPU Display Driver - February 2019》一
文指出https://nvidia.custhelp.com/app/answers/detail/a_id/4772,旗下的GeForce
顯示卡、Quadro專業繪圖卡、NVS多重顯示器商業繪圖卡、Tesla加速卡等產品之驅動程式
總計共有8個漏洞。
這些漏洞包含會造成系統資源被耗盡的阻斷服務攻擊(Denial-of-Service,DoS),以及
透過特權提升(Escalation of Privileges)手法,讓攻擊者透過漏洞取得比應用程式開
發者或系統管理員預期的更高的操作權限權,進而執行超出原本權限的操作。此外也包含
能夠讓攻擊者執行執行任意程式碼(Arbitrary Code Execution,ACE)的漏洞,並造成
資料外洩風險。
在文中NVIDIA使用通用弱點列舉(Common Weakness Enumeration,CWE)格式與通用漏洞
評分系統3.0(Common Vulnerability Scoring System 3.0,CVSS 3.0)記錄。其中
CVSS 3.0的基礎分數(Base Score)越高代表風險越大,0.1-3.9表示低度風險、4.0-6.9
表示中度風險、7.0-8.9表示高度風險、9.0-10.0則為危急風險。各漏洞的資訊如下:
CVE019665(基礎分數 = 8.8):Windows顯示驅動程式的3D vision套件在開啟檔
案時不會檢查硬連結(Hard Link),可能造成DoS、特權提升、ACE等問題。
CVE019666(基礎分數 = 8.8):Windows顯示驅動程式的核心模式層具有漏洞(
nvlddmkm.sys),會在建立DDI DxgkDdiCreateContext回呼函式(Callback Function)
文字指令時使用非信任的輸入,可能造成DoS、特權提升等問題。
CVE019667(基礎分數 = 8.8):Windows顯示驅動程式的核心模式層具有處理
DxgkDdiSetRootPageTable回呼函式的漏洞,在應用程式提取數值為「NULL」的指標時,
會認為其為有效值,可能造成ACE、DoS、特權提升等問題。
CVE019668(基礎分數 = 8.8):與上述相同,但回呼函式為
DxgkDdiSubmitCommandVirtual。
CVE019669(基礎分數 = 8.8):Windows顯示驅動程式的核心模式層具有處理
DxgkDdiEscape回呼函式的漏洞,會造成緩衝區溢位(Buffer Overflow)
https://zh.wikipedia.org/wiki/%E7%BC%93%E5%86%B2%E5%8C%BA%E6%BA%A2%E5%87%BA,
可能造成DoS、特權提升等問題。
CVE019670(基礎分數 = 7.8):與上述相同,但回呼函式為DxgkDdiEscape,可能
造成DoS、特權提升、ACE、資料外洩等問題。
CVE019671(基礎分數 = 6.5):Windows顯示驅動程式的核心模式層具有處理
DxgkDdiEscape回呼函式的漏洞,程式不會在結束後釋放資源,可能造成DoS問題。
CVE018260(基礎分數 = 2.2):顯示驅動程式具有旁路攻擊(Side Channel)漏
洞,攻擊者可以透過效能計數器(GPU Performance Counters)存取繪圖處理器處理的資
料。這個漏洞需在本機端執行,無法透過網路或遠端攻擊。
最新驅動程式已修正問題
若以最常見的GeForce顯示卡搭配Windows作業系統為例,電腦會受到上述所有漏洞影響,
因此最好能將驅動程式升級至419.17版本。
此外針對CVE-2018-6260漏洞,使用者除了需要更新驅動程式外,還需手動開啟NVIDIA控
制面板,在「桌面」選單中勾選「開啟開發者設定」,然後在「開發者 -> 管理GPU效能
計數器」頁面中,選擇「將GPU效能計數器的存取權限僅限於管理員使用者」,才能防堵
漏洞。
至於而其他產品與作業系統的組合也會受到不同程度的影響,雖然有些問題已在舊版驅動
程式中修正,但最好還是能維持驅動程式在最新版本以保障安全。
=======
厲害了....
--
傲嬌的告白https://i.imgur.com/J49GHYJ.jpg
浪漫的約會https://i.imgur.com/TDiDgWA.jpg
無邪的共浴https://i.imgur.com/1zaAQGR.png
之後把她推倒https://i.imgur.com/E4LPcx8.png
步入愛的禮堂https://i.imgur.com/bo0mRnP.jpg
--
https://goo.gl/UK2iAF
NVIDIA於2月底在技術支援網頁發表的資安公告中,提到包含GeForce、Quadro、NVS、
Tesla等產品在內的繪圖處理器驅動程式具有漏洞,使用者可能因此受阻斷服務攻擊、特
權提升、執行任意程式碼、資料外洩等資安風險危害,並建議將驅動程式升級至419.17之
後版本。
Windows影響最深
根據NVIDIA在《Security Bulletin: NVIDIA GPU Display Driver - February 2019》一
文指出https://nvidia.custhelp.com/app/answers/detail/a_id/4772,旗下的GeForce
顯示卡、Quadro專業繪圖卡、NVS多重顯示器商業繪圖卡、Tesla加速卡等產品之驅動程式
總計共有8個漏洞。
這些漏洞包含會造成系統資源被耗盡的阻斷服務攻擊(Denial-of-Service,DoS),以及
透過特權提升(Escalation of Privileges)手法,讓攻擊者透過漏洞取得比應用程式開
發者或系統管理員預期的更高的操作權限權,進而執行超出原本權限的操作。此外也包含
能夠讓攻擊者執行執行任意程式碼(Arbitrary Code Execution,ACE)的漏洞,並造成
資料外洩風險。
在文中NVIDIA使用通用弱點列舉(Common Weakness Enumeration,CWE)格式與通用漏洞
評分系統3.0(Common Vulnerability Scoring System 3.0,CVSS 3.0)記錄。其中
CVSS 3.0的基礎分數(Base Score)越高代表風險越大,0.1-3.9表示低度風險、4.0-6.9
表示中度風險、7.0-8.9表示高度風險、9.0-10.0則為危急風險。各漏洞的資訊如下:
CVE019665(基礎分數 = 8.8):Windows顯示驅動程式的3D vision套件在開啟檔
案時不會檢查硬連結(Hard Link),可能造成DoS、特權提升、ACE等問題。
CVE019666(基礎分數 = 8.8):Windows顯示驅動程式的核心模式層具有漏洞(
nvlddmkm.sys),會在建立DDI DxgkDdiCreateContext回呼函式(Callback Function)
文字指令時使用非信任的輸入,可能造成DoS、特權提升等問題。
CVE019667(基礎分數 = 8.8):Windows顯示驅動程式的核心模式層具有處理
DxgkDdiSetRootPageTable回呼函式的漏洞,在應用程式提取數值為「NULL」的指標時,
會認為其為有效值,可能造成ACE、DoS、特權提升等問題。
CVE019668(基礎分數 = 8.8):與上述相同,但回呼函式為
DxgkDdiSubmitCommandVirtual。
CVE019669(基礎分數 = 8.8):Windows顯示驅動程式的核心模式層具有處理
DxgkDdiEscape回呼函式的漏洞,會造成緩衝區溢位(Buffer Overflow)
https://zh.wikipedia.org/wiki/%E7%BC%93%E5%86%B2%E5%8C%BA%E6%BA%A2%E5%87%BA,
可能造成DoS、特權提升等問題。
CVE019670(基礎分數 = 7.8):與上述相同,但回呼函式為DxgkDdiEscape,可能
造成DoS、特權提升、ACE、資料外洩等問題。
CVE019671(基礎分數 = 6.5):Windows顯示驅動程式的核心模式層具有處理
DxgkDdiEscape回呼函式的漏洞,程式不會在結束後釋放資源,可能造成DoS問題。
CVE018260(基礎分數 = 2.2):顯示驅動程式具有旁路攻擊(Side Channel)漏
洞,攻擊者可以透過效能計數器(GPU Performance Counters)存取繪圖處理器處理的資
料。這個漏洞需在本機端執行,無法透過網路或遠端攻擊。
最新驅動程式已修正問題
若以最常見的GeForce顯示卡搭配Windows作業系統為例,電腦會受到上述所有漏洞影響,
因此最好能將驅動程式升級至419.17版本。
此外針對CVE-2018-6260漏洞,使用者除了需要更新驅動程式外,還需手動開啟NVIDIA控
制面板,在「桌面」選單中勾選「開啟開發者設定」,然後在「開發者 -> 管理GPU效能
計數器」頁面中,選擇「將GPU效能計數器的存取權限僅限於管理員使用者」,才能防堵
漏洞。
至於而其他產品與作業系統的組合也會受到不同程度的影響,雖然有些問題已在舊版驅動
程式中修正,但最好還是能維持驅動程式在最新版本以保障安全。
=======
厲害了....
--
傲嬌的告白https://i.imgur.com/J49GHYJ.jpg
浪漫的約會https://i.imgur.com/TDiDgWA.jpg
無邪的共浴https://i.imgur.com/1zaAQGR.png
之後把她推倒https://i.imgur.com/E4LPcx8.png
步入愛的禮堂https://i.imgur.com/bo0mRnP.jpg
--
Tags:
3C
All Comments
By Lydia
at 2019-03-08T02:23
at 2019-03-08T02:23
By Belly
at 2019-03-12T08:18
at 2019-03-12T08:18
By Valerie
at 2019-03-14T09:42
at 2019-03-14T09:42
By Susan
at 2019-03-15T21:41
at 2019-03-15T21:41
By Hazel
at 2019-03-18T11:00
at 2019-03-18T11:00
By Enid
at 2019-03-19T12:01
at 2019-03-19T12:01
By Doris
at 2019-03-20T16:35
at 2019-03-20T16:35
By Hedy
at 2019-03-23T08:00
at 2019-03-23T08:00
By Ivy
at 2019-03-23T12:20
at 2019-03-23T12:20
By Jake
at 2019-03-26T14:20
at 2019-03-26T14:20
By Daniel
at 2019-03-27T18:02
at 2019-03-27T18:02
By Cara
at 2019-04-01T10:04
at 2019-04-01T10:04
By Victoria
at 2019-04-04T03:09
at 2019-04-04T03:09
By Mia
at 2019-04-04T09:30
at 2019-04-04T09:30
By Kyle
at 2019-04-08T14:31
at 2019-04-08T14:31
By Ula
at 2019-04-11T08:45
at 2019-04-11T08:45
By Ina
at 2019-04-14T15:35
at 2019-04-14T15:35
By Madame
at 2019-04-19T02:50
at 2019-04-19T02:50
By Charlie
at 2019-04-21T04:52
at 2019-04-21T04:52
By Franklin
at 2019-04-23T14:23
at 2019-04-23T14:23
By Yuri
at 2019-04-28T11:35
at 2019-04-28T11:35
By Brianna
at 2019-05-01T00:47
at 2019-05-01T00:47
By Jake
at 2019-05-01T19:02
at 2019-05-01T19:02
By Eden
at 2019-05-05T22:16
at 2019-05-05T22:16
By Zenobia
at 2019-05-06T22:36
at 2019-05-06T22:36
By Susan
at 2019-05-11T01:20
at 2019-05-11T01:20
By Sierra Rose
at 2019-05-12T12:04
at 2019-05-12T12:04
By Carolina Franco
at 2019-05-17T03:13
at 2019-05-17T03:13
By Iris
at 2019-05-21T22:08
at 2019-05-21T22:08
By William
at 2019-05-23T06:00
at 2019-05-23T06:00
By Carolina Franco
at 2019-05-28T05:27
at 2019-05-28T05:27
By Agnes
at 2019-05-30T22:14
at 2019-05-30T22:14
By Christine
at 2019-06-02T16:07
at 2019-06-02T16:07
By Eartha
at 2019-06-06T03:05
at 2019-06-06T03:05
By Enid
at 2019-06-09T19:39
at 2019-06-09T19:39
By Damian
at 2019-06-11T07:37
at 2019-06-11T07:37
By Frederic
at 2019-06-12T21:55
at 2019-06-12T21:55
By Damian
at 2019-06-16T14:45
at 2019-06-16T14:45
By William
at 2019-06-19T12:03
at 2019-06-19T12:03
By Hedwig
at 2019-06-21T17:05
at 2019-06-21T17:05
By Madame
at 2019-06-22T04:42
at 2019-06-22T04:42
By Poppy
at 2019-06-25T18:41
at 2019-06-25T18:41
By Callum
at 2019-06-30T09:04
at 2019-06-30T09:04
By Anthony
at 2019-06-30T12:52
at 2019-06-30T12:52
By Megan
at 2019-06-30T15:32
at 2019-06-30T15:32
By Joe
at 2019-07-04T18:11
at 2019-07-04T18:11
By Ingrid
at 2019-07-05T01:00
at 2019-07-05T01:00
By Edward Lewis
at 2019-07-06T11:10
at 2019-07-06T11:10
By John
at 2019-07-09T20:30
at 2019-07-09T20:30
By Eden
at 2019-07-13T02:22
at 2019-07-13T02:22
By John
at 2019-07-14T12:05
at 2019-07-14T12:05
By Yuri
at 2019-07-14T23:07
at 2019-07-14T23:07
By Lydia
at 2019-07-19T03:26
at 2019-07-19T03:26
By Selena
at 2019-07-20T23:24
at 2019-07-20T23:24
By Yedda
at 2019-07-23T16:08
at 2019-07-23T16:08
By Linda
at 2019-07-26T01:15
at 2019-07-26T01:15
By Elvira
at 2019-07-28T23:02
at 2019-07-28T23:02
By Daph Bay
at 2019-08-02T02:20
at 2019-08-02T02:20
Related Posts
軟體執行視窗大小問題
By Faithe
at 2019-03-05T09:58
at 2019-03-05T09:58
7K顯示卡選擇?
By Gary
at 2019-03-05T09:58
at 2019-03-05T09:58
羅技g402
By Thomas
at 2019-03-05T09:22
at 2019-03-05T09:22
技嘉的VDG??
By Faithe
at 2019-03-05T02:20
at 2019-03-05T02:20
Z97主機板裝M2 SSD 問題
By Sandy
at 2019-03-05T01:33
at 2019-03-05T01:33