Утечки и сбои: NVIDIA выпускает критическое обновление безопасности

NVIDIA выпустила обновление безопасности для драйвера GPU, устраняющее несколько уязвимостей в версиях для Windows и Linux. Некоторые из ошибок могли привести к утечке данных, отказу в обслуживании или несанкционированному доступу к файлам. Владельцам видеокарт NVIDIA рекомендуется как можно скорее установить обновления, чтобы минимизировать потенциальные риски.

Одна из наиболее серьезных уязвимостей, обозначенная как CVE-2024-0150 (оценка CVSS: 7.1), связана с некорректной работой с памятью — данные могут записываться за границы буфера, что приводит к повреждению информации, возможности перехвата данных и потенциальному отказу в обслуживании.

Еще одна проблема — CVE-2024-0147 (оценка CVSS: 5.5) — заключается в использовании памяти после ее освобождения (Use-After-Free, UAF). Подобная ошибка может спровоцировать сбои в работе системы или изменить данные, что создает опасность для пользователей, работающих с критически важными программами.

В Linux-версии драйверов была найдена уязвимость CVE-2024-53869 (оценка CVSS: 5.5), связанная с модулем Unified Memory. Недостаток позволял получить доступ к неинициализированной памяти, что потенциально приводило к утечке конфиденциальных данных.

Уязвимость CVE-2024-0131 (оценка CVSS: 4.4), присутствующая как в Windows-, так и в Linux-драйверах, связана с возможностью чтения буфера с некорректной длиной, что могло вызвать отказ в обслуживании. Несмотря на средний уровень опасности ошибки, пользователям рекомендуется обновиться, чтобы избежать потенциальных проблем.

Также в версии для Linux обнаружена уязвимость CVE-2024-0149(оценка CVSS: 3.3), связанная с возможностью несанкционированного доступа к файлам.

Проблемы в NVIDIA vGPU: опасность для виртуализации

Дополнительные уязвимости были выявлены в программном обеспечении NVIDIA vGPU, используемом в виртуализированных средах. Одной из наиболее серьезных стала CVE-2024-0146 (оценка CVSS: 7.8), обнаруженная в Virtual GPU Manager, которая позволяла хакеру из гостевой системы вызвать повреждение памяти на хосте, что могло привести к выполнению произвольного кода, отказу в обслуживании, утечке информации или изменению данных.

Другой серьезной проблемой стала CVE-2024-53881 (оценка CVSS: 5.5), связанная с драйвером хоста NVIDIA vGPU. Ошибка позволяла гостевой системе создавать волну прерываний на хосте, перегружая его и вызывая отказ в обслуживании. Хотя недостаток среднего уровня опасности, в условиях виртуализированных сред эксплуатация могла привести к значительным последствиям.

Какие драйверы требуют обновления

Обновления выпущены для нескольких веток драйверов NVIDIA, используемых в Windows и Linux. В частности:

• Windows: исправления получили версии R535, R550, R560 и R565;
• Linux: обновления затронули ветки R535 и R550.

Среди конкретных продуктов, требующих обновления:

• NVIDIA RTX, Quadro, NVS (Windows): обновленные версии 553.62 (R550) и 539.19 (R535);
• Tesla (Windows): те же версии драйверов, что и для Quadro;
• GeForce (Linux): исправления включены в 550.144.03 (R550) и 535.230.02 (R535).

Для vGPU обновления доступны через NVIDIA Licensing Portal, причем исправления касаются гостевых драйверов, виртуального GPU Manager и драйверов хоста.

Специалисты рекомендуют немедленно обновить драйверы NVIDIA, особенно тем, кто использует виртуализацию или графические процессоры в критически важных вычислениях. Несмотря на то, что большинство уязвимостей требуют локального доступа для эксплуатации, возможность утечки данных и сбоев делает их потенциально опасными.