Vulnérabilités sur des produits NVIDIA

Date de publication :

NVIDIA a récemment publié un bulletin de sécurité recensant plusieurs vulnérabilités sur ses produits. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, un déni de service, une exécution de code arbitraire et / ou une fuite d’informations.

CVE-2020-5962 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le composant NVIDIA Control Panel dans NVIDIA GPU Display Driver. Un attaquant avec un accès local au système peut exploiter cette vulnérabilité afin de provoquer une élévation de privilèges ou un déni de service.

CVE-2020-5963 [Score CVSS v3 : 7.8] : Une vulnérabilité de type contrôle d’accès incorrect a été découverte dans l’API Inter Process Communication de NVIDIA CUDA Driver. Un attaquant peut exploiter cette vulnérabilité afin de provoquer un déni de service, une exécution de code arbitraire ou une fuite d’informations.

CVE-2020-5968 [Score CVSS v3 : 7.8] :  Une vulnérabilité de type lecture hors-limites a été découverte dans le plugin vGPU de NVIDIA Virtual GPU Manager. Un attaquant peut exploiter cette vulnérabilité afin de provoquer une élévation de privilèges, un déni de service, une exécution de code arbitraire ou une fuite d’informations.

CVE-2020-5969 [Score CVSS v3 : 7.8] : Une vulnérabilité de type condition de compétition (race condition) a été découverte dans le plugin vGPU de NVIDIA Virtual GPU Manager. Un attaquant peut exploiter cette vulnérabilité afin de provoquer un déni de service ou une fuite d’informations.

CVE-2020-5970 [Score CVSS v3 : 7.8] : Une vulnérabilité de type validation incorrecte de taille de données a été découverte dans le plugin vGPU de NVIDIA Virtual GPU Manager. Un attaquant peut exploiter cette vulnérabilité afin de provoquer un déni de service ou une atteinte à l’intégrité des données.

CVE-2020-5971 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “buffer over-read” a été découverte dans le plugin vGPU de NVIDIA Virtual GPU Manager. Un attaquant peut exploiter cette vulnérabilité afin de provoquer  une élévation de privilèges, un déni de service, une exécution de code arbitraire ou une fuite d’informations.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire
  • Déni de service
  • Fuite d’informations

Criticité

  • Score CVSS v3 : 7.8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible à ce jour

Composants vulnérables

  • Une liste des composants vulnérables est disponible ici

CVE

  • Une liste complète des CVE est disponible ici

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les mises à jour proposées par NVIDIA

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens