Vulnérabilités dans plusieurs composants Nvidia
Date de publication :
Nvidia GPU Display Driver
CVE‑2021‑1089 [Score CVSS v3 : 7.8]
Le pilote d'affichage GPU NVIDIA pour Windows contient une vulnérabilité dans nvidia-smi. Cette faille est due à un chemin de chargement de DLL non contrôlé. Son exploitaiton peut permettre à attaquant local et authentifié d’exécuter du code arbitraire, de provoquer un déni de service ou encore d’exposer ou altérer des données sensibles.
CVE‑2021‑1090 [Score CVSS v3 : 7.1]
Le pilote d'affichage GPU NVIDIA pour Windows et Linux contient une vulnérabilité dans le gestionnaire de la couche en mode noyau (nvlddmkm.sys). Elle est due à une lecture/écriture mémoire hors limite. Son epxloitaiton peut permettre à un attaquant local et authentifié de provoquer un déni de service ou encore d’exposer ou altérer des données sensibles.
CVE‑2021‑1091[Score CVSS v3 : 7.1]
Le pilote d'affichage GPU VIDIA pour Windows contient une vulnérabilité permettant à un attaquant local et authentifié de créer un lien dur de fichier qui amène le pilote à écraser un fichier dont la modification nécessite des privilèges élevés, ce qui peut entraîner une perte de données ou un déni de service.
CVE‑2021‑1092 [Score CVSS v3 : 7.1]
Le pilote d'affichage du GPU NVIDIA pour Windows contient une vulnérabilité dans l'application du Panneau de configuration NVIDIA. L’application est sensible à une attaque par lien symbolique du système de fichiers Windows. Un attaquant attaquant local et authentifié peut amener les applications à écraser des fichiers privilégiés, ce qui peut entraîner un déni de service ou une perte de données.
Nvidia VGPU Software
CVE‑2021‑1097 [Score CVSS v3 : 7.8]
Le logiciel NVIDIA vGPU contient une vulnérabilité dans le gestionnaire de GPU virtuel (plugin vGPU). Cette faille est due à une validation incorrecte du champ de longueur dans une requête provenant d'un invité. Cette faille peut permettre à attaquant local et authentifié d'envoyer un champ de longueur qui ne correspond pas à la longueur réelle de l'entrée, ce qui peut entraîner la divulgation d'informations, l'altération de données ou encore un déni de service.
CVE‑2021‑1098[Score CVSS v3 : 7.8]
Le logiciel NVIDIA vGPU contient une vulnérabilité dans le gestionnaire de GPU virtuel (plugin vGPU), qui ne libère pas certaines ressources lors des demandes de déchargement du pilote par les invités. Cette faille peut permettre à un attaquant local et authentifié de provoquer un déni de service ou d’exposer ou altérer des données sensibles.
CVE‑2021‑1099 [Score CVSS v3 : 7.0]
Le logiciel NVIDIA vGPU contient une vulnérabilité dans le Virtual GPU Manager (plugin vGPU). Son exploitation peut permettre à un attaquant local et authentifié de provoquer un dépassement de tampon basé sur la pile et de placer un gadget ROP personnalisé sur la pile. Une telle attaque peut conduire à la divulgation d'informations, à l'altération de données ou à un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exposition de données sensibles
- Exécution de code arbitraire
- Déni de service
Criticité
- Scores CVSS v3 : 7.8 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Nvidia GPU Display Driver (Windows) branche R470 versions antérieures à 471.41 ;
- Nvidia GPU Display Driver (Windows) branche R460 versions antérieures à 462.96 ;
- Nvidia GPU Display Driver (Windows) branche R450 versions antérieures à 453.10 ;
- Nvidia GPU Display Driver (Windows) branche R390 versions antérieures à 392.67 ;
- Nvidia GPU Display Driver (Windows) branche R418 versions antérieures à 427.48 ;
- Nvidia GPU Display Driver (Linux) branche R470 versions antérieures à 470.57.02 ;
- Nvidia GPU Display Driver (Linux) branche R460 versions antérieures à 460.91.03 ;
- Nvidia GPU Display Driver (Linux) branche R450 versions antérieures à 450.142.00 ;
- Nvidia GPU Display Driver (Linux) branche R390 versions antérieures à 390.144 ;
- Nvidia GPU Display Driver (Linux) branche R418 versions antérieures à 418.211.00 ;
- Nvidia vGPU Software (Windows guest driver) versions antérieures à 12.3 ;
- Nvidia vGPU Software (Windows guest driver) versions antérieures à 11.5 ;
- Nvidia vGPU Software (Windows guest driver) versions antérieures à 8.8 ;
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les équipements impactés conformément aux instructions de Nvidia.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.