WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
NVIDIA vá nhiều lỗi nghiêm trọng ảnh hưởng đến các thiết bị Windows, Linux
NVIDIA vừa phát hành các bản cập nhật an ninh để giải quyết 6 lỗ hổng trong trình điều khiển màn hình GPU của Windows và Linux, cũng như 10 lỗ hổng khác ảnh hưởng đến phần mềm quản lý NVIDIA Virtual GPU (vGPU).
Các lỗ hổng này khiến máy Windows và Linux bị tấn công dẫn đến từ chối dịch vụ, leo thang đặc quyền, giả mạo dữ liệu hoặc tiết lộ thông tin.
Tất cả đều yêu cầu quyền truy cập của người dùng cục bộ, có nghĩa là kẻ tấn công trước tiên phải có quyền truy cập vào các thiết bị tồn tại lỗ hổng bằng một phương thức tấn công khác.
Vá 11 lỗ hổng nghiêm trọng cao
Sau khi khai thác thành công một trong những lỗ hổng này, kẻ tấn công có thể dễ dàng nâng cấp đặc quyền để đạt được các quyền cao hơn quyền mặc định do hệ điều hành cung cấp.
NVIDIA đã giải quyết các vấn đề trong tất cả sản phẩm và nền tảng phần mềm bị ảnh hưởng, ngoại trừ các lỗ hổng (CVE 2021 1052, CVE 2021 1053 và CVE 2021 1056) ảnh hưởng đến Trình điều khiển hiển thị GPU Linux cho GPU Tesla, vốn sẽ nhận được phiên bản trình điều khiển cập nhật bắt đầu vào ngày 18/1/2021.
Các lỗi có điểm CVSS V3 nằm trong khoảng từ 5,3 đến 8,4, trong đó 11 lỗi nhận được đánh giá là có mức rủi ro cao từ NVIDIA.
Theo NVIDIA, "đánh giá rủi ro dựa trên mức trung bình của rủi ro trên một loạt các hệ thống khác nhau và có thể không đại diện cho rủi ro thực sự khi cài đặt cục bộ trên thiết bị của bạn".
Hãng khuyến cáo khách hàng nên tham khảo ý kiến của một chuyên gia CNTT để đánh giá chính xác rủi ro mà những lỗ hổng này gây ra cho cấu hình hệ thống cụ thể.
Danh sách đầy đủ các lỗi được NVIDIA giải quyết trong tháng này có trong January 2021 Security Bulletin.
Một số phiên bản trình điều khiển có sẵn thông qua các nhà cung cấp phần cứng
NVIDIA khuyến nghị khách hàng cập nhật trình điều khiển màn hình GPU GeForce, NVIDIA RTX, Quadro, NVS và Tesla, cũng như Trình quản lý GPU Ảo và phần mềm trình điều khiển khách bằng cách sử dụng các bản cập nhật có sẵn trên trang NVIDIA Driver Downloads.
Công ty cũng cho biết một số khách hàng không vá lỗi theo cách thủ công có thể nhận được các bản cập nhật bảo mật đi kèm với trình điều khiển màn hình GPU Windows 460.84, 457.49 và 452.66 phiên bản từ nhà cung cấp phần cứng máy tính.
Người dùng phần mềm NVIDIA vGPU doanh nghiệp phải đăng nhập vào Enterprise Application Hub của NVIDIA để nhận các bản cập nhật thông qua NVIDIA Licensing Center.
Các lỗ hổng này khiến máy Windows và Linux bị tấn công dẫn đến từ chối dịch vụ, leo thang đặc quyền, giả mạo dữ liệu hoặc tiết lộ thông tin.
Tất cả đều yêu cầu quyền truy cập của người dùng cục bộ, có nghĩa là kẻ tấn công trước tiên phải có quyền truy cập vào các thiết bị tồn tại lỗ hổng bằng một phương thức tấn công khác.
Vá 11 lỗ hổng nghiêm trọng cao
Sau khi khai thác thành công một trong những lỗ hổng này, kẻ tấn công có thể dễ dàng nâng cấp đặc quyền để đạt được các quyền cao hơn quyền mặc định do hệ điều hành cung cấp.
NVIDIA đã giải quyết các vấn đề trong tất cả sản phẩm và nền tảng phần mềm bị ảnh hưởng, ngoại trừ các lỗ hổng (CVE 2021 1052, CVE 2021 1053 và CVE 2021 1056) ảnh hưởng đến Trình điều khiển hiển thị GPU Linux cho GPU Tesla, vốn sẽ nhận được phiên bản trình điều khiển cập nhật bắt đầu vào ngày 18/1/2021.
Các lỗi có điểm CVSS V3 nằm trong khoảng từ 5,3 đến 8,4, trong đó 11 lỗi nhận được đánh giá là có mức rủi ro cao từ NVIDIA.
Theo NVIDIA, "đánh giá rủi ro dựa trên mức trung bình của rủi ro trên một loạt các hệ thống khác nhau và có thể không đại diện cho rủi ro thực sự khi cài đặt cục bộ trên thiết bị của bạn".
Hãng khuyến cáo khách hàng nên tham khảo ý kiến của một chuyên gia CNTT để đánh giá chính xác rủi ro mà những lỗ hổng này gây ra cho cấu hình hệ thống cụ thể.
Danh sách đầy đủ các lỗi được NVIDIA giải quyết trong tháng này có trong January 2021 Security Bulletin.
Một số phiên bản trình điều khiển có sẵn thông qua các nhà cung cấp phần cứng
NVIDIA khuyến nghị khách hàng cập nhật trình điều khiển màn hình GPU GeForce, NVIDIA RTX, Quadro, NVS và Tesla, cũng như Trình quản lý GPU Ảo và phần mềm trình điều khiển khách bằng cách sử dụng các bản cập nhật có sẵn trên trang NVIDIA Driver Downloads.
Công ty cũng cho biết một số khách hàng không vá lỗi theo cách thủ công có thể nhận được các bản cập nhật bảo mật đi kèm với trình điều khiển màn hình GPU Windows 460.84, 457.49 và 452.66 phiên bản từ nhà cung cấp phần cứng máy tính.
Người dùng phần mềm NVIDIA vGPU doanh nghiệp phải đăng nhập vào Enterprise Application Hub của NVIDIA để nhận các bản cập nhật thông qua NVIDIA Licensing Center.
The Bleeping Computer