NVIDIA یک به روز رسانی امنیتی برای طیف گسترده ای از مدل های کارت گرافیک منتشر کرده است که چهار آسیب پذیری با شدت بالا و شش آسیب پذیری با شدت متوسط را در درایورهای GPU خود برطرف کرده است.

به روز رسانی امنیتی آسیب پذیری هایی را که می تواند منجر به انکار سرویس، افشای اطلاعات، افزایش امتیازات، اجرای کد و غیره شود را برطرف می کند.

به‌روزرسانی‌ها برای محصولات نرم‌افزاری Tesla، RTX/Quadro، NVS، Studio و GeForce در دسترس قرار گرفته‌اند و شاخه‌های درایور R450، R470 و R510 را پوشش می‌دهند.

جالب توجه است، جدا از خطوط تولید فعلی و اخیر که به طور فعال پشتیبانی می‌شوند، آخرین نسخه NVIDIA کارت‌های سری Kepler GTX 600 و GTX 700 را نیز پوشش می‌دهد که پشتیبانی آن در اکتبر ۲۰۲۱ به پایان رسید.

سازنده GPU قبلاً قول داده بود که به ارائه به‌روزرسانی‌های امنیتی بحرانی برای این محصولات تا سپتامبر ۲۰۲۴ ادامه دهد و با این به‌روزرسانی درایور به این وعده احترام می‌گذارد.

چهار نقص با شدت بالا که در این ماه برطرف شد عبارتند از:

CVE-2022-28181 امتیاز CVSS v3: 8.5) – ) نوشتن خارج از محدوده در لایه حالت هسته ناشی از یکshader  ساخته شده خاص که از طریق شبکه ارسال می شود، به طور بالقوه منجر به اجرای کد، انکار سرویس، افزایش امتیازات، افشا اطلاعات و دستکاری داده ها می شود.

CVE-2022-28182 امتیاز‌CVSS v3: 8.5) – ) نقص در درایور حالت کاربر DirectX11 که به مهاجم غیرمجاز اجازه می‌دهد یک اشتراک ‌گذاری ویژه ساخته شده را از طریق شبکه ارسال کند و باعث انکار سرویس، افزایش امتیازات، افشای اطلاعات و دستکاری داده‌ها شود.

CVE-2022-28183امتیاز CVSS v3: 7.7) –  ) آسیب‌پذیری در لایه حالت هسته، که در آن یک کاربر عادی غیرمجاز می‌تواند باعث خواندن خارج از محدوده شود، که ممکن است منجر به انکار سرویس و افشای اطلاعات شود.

CVE-2022-28184 (امتیاز CVSS v3: 7.1) – آسیب‌پذیری در لایه حالت هسته (nvlddmkm.sys) برای DxgkDdiEscape، که در آن کاربر عادی غیرمجاز می‌تواند به ثبت‌های دارای سطح دسترسی ادمین دسترسی داشته باشد، که ممکن است منجر به انکار سرویس، افشای اطلاعات و دستکاری داده ها شود.

این آسیب‌پذیری‌ها به امتیازات پایین و بدون تعامل کاربر نیاز دارند، بنابراین می‌توانند در بدافزار گنجانده شوند و به مهاجمان اجازه می‌دهند تا دستورات با امتیازات بالاتر را اجرا کنند.

دو مورد اول از طریق شبکه قابل بهره‌برداری هستند، در حالی که دو مورد دیگر با دسترسی محلی مورد سوء استفاده قرار می‌گیرند، که همچنان می‌توانند برای بدافزاری که سیستمی را با امتیازات کم  آلوده می‌کند مفید باشد.

Cisco Talos که CVE-2022-28181 و CVE-2022-28182 را کشف کرده است، امروز نیز پستی را منتشر کرده است که در آن توضیح داده است که چگونه آنها با ارائه یک شیدر محاسباتی ناقص باعث ایجاد نقص های حافظه می شوند.

از آنجایی که عوامل تهدید می توانند از یک  shader مخرب در مرورگر توسط WebAssembly و WebGL استفاده کنند، Talos هشدار می دهد که عوامل تهدید ممکن است بتوانند این کار را از راه دور فعال کنند.

“یک فایل اجرایی/شایدر ساخته شده خاص می تواند منجر به تخریب حافظه شود. این آسیب پذیری به طور بالقوه می تواند از ماشین های مهمان که محیط های مجازی سازی را اجرا می کنند (مانند VMware، qemu، VirtualBox و غیره) به منظور انجام فرار از مهمان به میزبان ایجاد شود. از نظر تئوری این این آسیب‌پذیری می‌تواند از مرورگر وب با استفاده از webGL و webassembly نیز ایجاد شود.” Talos در رابطه با CVE-2022-28181 توضیح می‌دهد.

برای جزئیات بیشتر در مورد تمام اصلاحات و هر نرم افزار و محصول سخت افزاری تحت پوشش این ماه، بولتن امنیتی NVIDIA را بررسی کنید.

به همه کاربران توصیه می شود در اسرع وقت به روز رسانی های امنیتی منتشر شده را اعمال کنند. کاربران می توانند آخرین درایور مدل GPU خود را از بخش دانلود مرکزی NVIDIA دانلود کنند، جایی که می توانند محصول و سیستم عامل خاصی را که استفاده می کنند انتخاب کنند.

به‌روزرسانی‌ها را می‌توان از طریق مجموعه GeForce Experience NVIDIA نیز اعمال کرد.

با این حال، اگر به طور خاص به این نرم افزار برای ذخیره پروفایل های بازی یا استفاده از ویژگی های پخش آن نیاز ندارید، توصیه می کنیم از آن استفاده نکنید زیرا خطرات امنیتی غیر ضروری و استفاده از منابع را معرفی می کند.

اخبار آسیب‌پذی‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها دنبال کنید.