Драйверы кричат о помощи: Arm и Nvidia выпустили патчи для серии 0-day уязвимостей

Две крупнейшие компании, разрабатывающие графические процессоры и другие полупроводниковые компоненты, Arm и Nvidia , призвали своих клиентов как можно скорее установить патчи безопасности для устранения серии опасных уязвимостей в драйверах GPU .

Базирующаяся в Великобритании Arm сообщила об активно эксплуатируемой уязвимости нулевого дня в программном драйвере Mali GPU Kernel, который обеспечивает взаимодействие операционной системы с графическим процессором Mali. Эта брешь, обозначенная как CVE-2024-4610 , может приводить к некорректной обработке видеопамяти GPU, вызывая сбои, повреждение данных или несанкционированный доступ к конфиденциальной информации. В Arm заявили, что уже исправили баг и настоятельно рекомендуют обновить ПО Bifrost и Valhall GPU всем затронутым пользователям.

Это не первый раз, когда исследователи выявляют проблемы в драйверах Arm Mali GPU. В октябре прошлого года компания признала наличие другой уязвимости ( CVE-2023-4211 ), позволяющей хакерам получать доступ к данным на устройствах с Mali GPU. А еще ранее, в 2022 году, эксперт обнаружил баг в том же драйвере, открывавший лазейку для взлома Google Pixel 6.

Американский гигант Nvidia также сообщил о 10 новых серьезных проблемах в своих GPU драйверах для Windows и Linux, а также в программном обеспечении виртуальных GPU (vGPU). Компания призвала всех пользователей срочно скачать и установить обновленные версии для защиты своих систем от потенциальных кибератак.

Одна из обнаруженных уязвимостей в драйверах Nvidia GPU для Windows и Linux, обозначенная как CVE-2024-0090 , может привести к выполнению вредоносного кода, отказу в обслуживании, эскалации привилегий, раскрытию данных и их повреждению. Другой баг CVE-2024-0089 в Nvidia GPU драйвере для Windows открывает возможность утечки информации из предыдущих сессий.

Nvidia также предупредила, что в их vGPU ПО, позволяющем нескольким виртуальным машинам использовать один физический GPU, присутствует уязвимость CVE-2024-0099 . Аналогичным образом, она приводит к раскрытию данных, их изменению, повышению привилегий и отказам в обслуживании.

Две ведущие компании индустрии графических процессоров практически одновременно столкнулись с необходимостью закрытия критических дыр безопасности в своих разработках. Своевременное обновление является крайне важным для предотвращения возможного ущерба.