انویدیا آسیب پذیری های GeForce و GPU را وصله می کند

دسته بندی ها : اخبار ۹ آذر ۱۳۹۸ آپا دانشگاه تبریز 82 بازدید

بدترین باگ ها، راه را برای اجرای کد و نشت اطلاعات هموار کرده است.

انویدیا مجموعه ای از آسیب پذیری های امنیتی جدی را در نرم افزار گرافیکی GeForce Experience و درایور نمایش GPU وصله کرده است.

روز پنجشنبه ، غول فناوری دو مشاور امنیتی جداگانه (۱ ، ۲) در مورد جزئیات آسیب پذیری ها منتشر کرد که بدترین آنها ممکن است منجر به اجرای کد یا افشای اطلاعات شود.

سه آسیب پذیری در GeForce Experience برطرف شده است. اولین، CVE ‑ ۲۰۱۹‑۵۷۰۱ ، یک مشکل درون GameStream است. در صورت فعال بودن، مهاجمی با دسترسی محلی می تواند DLL های درایور گرافیکی Intel را بدون اعتبارسنجی مسیر بارگیری کند، که به طور بالقوه منجر به اجرای کد دلخواه، ارتقا دسترسی، انکار سرویس (DoS) یا افشای اطلاعات می شود.

اشکال دوم، CVE ‑ ۲۰۱۹‑۵۶۸۹ ۲۰۱۹، در درون بارگیری GeForce موجود است. با توجه به دسترسی محلی ، یک مهاجم می تواند برای انتقال و ذخیره کردن فایل های مخرب ، رمزگذاری و اجرای کد را انجام دهد ، همچنین منجر به اجرای کد ، DoS یا نشت اطلاعات می شود.

نقص امنیتی سوم، CVE ‑ ۲۰۱۹-۵۶۹۵ CVE، در مؤلفه ارائه دهنده خدمات محلی GeForce یافت شد. برای سوءاستفاده از این آسیب پذیری، یک مهاجم به دسترسی محلی و previleged نیاز دارد، اما در صورت دستیابی، می توان از سیستم نادرست بارگذاری DLL ویندوز استفاده کرد تا باعث DoS یا سرقت داده شود.

شش آسیب پذیری همچنین در درایور نمایشگر GPU Nvidia Windows برطرف شده است. مهمترین این موارد، CVE ‑ ۲۰۱۹‑۵۶۹۰، مسئله کنترل کننده لایه حالت هسته است که در آن اندازه ورودی، اعتبار سنجی نمی شود و منجر به افزایش DoS یا ارتقا دسترسی می شود.

علاوه بر این، CVE ‑ ۲۰۱۹‑۵۶۹۱ در همان سیستمی یافت شده است که در آن می توانید خطاهای اشاره گر تهی را برای اهداف مشابه مورد سوء استفاده قرار دهید.

دو اشکال دیگر، CVE ‑ ۲۰۱۹‑۵۶۹۲ و CVE ‑ ۲۰۱۹‑۵۶۹۳، که هر دو در کنترل کننده لایه حالت هسته نیز هستند، برطرف شده اند. اولین مورد مربوط به ورودی غیرقابل اعتماد هنگام محاسبه یا استفاده از شاخص آرایه است و منجر به افزایش امتیاز یا انکار سرویس می شود، در حالی که نقص امنیتی دوم مربوط به نحوه دسترسی یا استفاده از نشانگرها است. در صورت بهره برداری، این مشکل می تواند منجر به انکار سرویس شود.

درایور صفحه نمایش همچنین حاوی CVE ‑ ۲۰۱۹‑۵۶۹۴ و CVE ‑ ۲۰۱۹‑۵۶۹۵، مشکلات نادرست بارگیری DLL است که می تواند برای DoS یا افشای اطلاعات مورد سوء استفاده قرار بگیرد.

انویدیا همچنین سه  آسیب پذیری در مدیر مجازی پردازنده گرافیکی برطرف کرده است. CVE ‑ ۲۰۱۹‑۵۶۹۶ یک نقص امنیتی است که می تواند به دسترسی خارج از محدوده توسط یک مهمان VM منجر شود، در حالی که CVE ‑ ۲۰۱۹-۵۶۹۷ می تواند مورد سوء استفاده قرار گیرد تا کاربر guest بتواند به حافظه ای که در اختیار ندارد، دسترسی داشته باشد و منجر به DoS یا نشت اطلاعات شود.

اشکال نهایی، CVE ‑ ۲۰۱۹‑۵۶۹۸، در افزونه vGPU است و مربوط به اعتبار نادرست مقادیر شاخص ورودی است. در صورت بهره برداری، این نقص امنیتی نیز می تواند منجر به انکار خدمات شود.

تمام نسخه های Nvidia GeForce Experience در ویندوز قبل از ۳.۲۰.۱ تحت تأثیر قرار می گیرند. نسخه های Nvidia Quadro ، NVS R440 قبل از ۴۴۱.۱۲ ، R430 و R418 ، تسلا R440 و R418 و Quadro 390 نیز تحت تأثیر قرار می گیرند. وصله ها برای Tesla R440 و R418 و Quadro NVS R430 ، R418 و R390 هفته آینده منتشر می شوند

محققان ACTIVELabs ، دانشگاه صنعتی چنگدو و آزمایشگاه های SafeBreach از گزارش آسیب پذیری ها تشکر کرده اند.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :

    عضویت در خبرنامه ویژه مشتریان سیگما پلاس

    با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!