Vulnérabilités dans des produits NVIDIA

Date de publication :

Plusieurs vulnérabilités ont été découvertes dans NVIDIA GPU Display Driver et NVIDIA vGPU Software. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, un déni de service, une exécution de code arbitraire ou une fuite d’informations.

NVIDIA GPU Display Driver 

CVE‑2020‑5979 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le composant NVIDIA Control Panel dans NVIDIA GPU Display Driver. Le Control Panel peut présenter à un attaquant avec un accès local au système une boîte de dialogue possèdant des privilèges élevés pouvant être exploitée afin de provoquer une élévation de privilèges via des entrées.

CVE‑2020‑5980 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans plusieurs composants de NVIDIA GPU Display Driver. Elle peut permettre à un attaquant avec un accès local au système de provoquer une exécution de code arbitraire ou un déni de service.

CVE‑2020‑5981 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le pilote DirectX11 de NVIDIA GPU Display Driver. Elle peut permettre à un attaquant avec un accès local au système de provoquer une exécution de code arbitraire ou un déni de service.

NVIDIA vGPU Software

CVE‑2020‑5983 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte de type “écriture hors-limites” dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service ou une fuite d’informations.

CVE‑2020‑5984 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte de type “use-after-free” dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service, une exécution de code arbitraire ou une fuite d’informations.

CVE‑2020‑5985 [Score CVSS v3 : 7.8] : Une vulnérabilité due à une validation incorrecte de la longueur d’entrées a été découverte dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service.

CVE‑2020‑5986 [Score CVSS v3 : 7.8] : Une vulnérabilité due à une validation incorrecte de la taille d’entrées a été découverte dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire
  • Déni de service
  • Fuite d’informations

Criticité

  • Score CVSS v3 : 8.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • Une liste complète des composants et versions vulnérables est disponible ici

CVE

  • CVE‑2020‑5980
  • CVE‑2020‑5979
  • CVE‑2020‑5981
  • CVE‑2020‑5982
  • CVE‑2020‑5983
  • CVE‑2020‑5984
  • CVE‑2020‑5985
  • CVE‑2020‑5986
  • CVE‑2020‑5987
  • CVE‑2020‑5988

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement

Liens