В своём бюллетене от 28 февраля NVIDIA раскрыла новые проблемы безопасности драйверов.
Уязвимости, затрагивающие в том числе и Linux-версию драйвера:
- CVE‑2024‑0074, серьёзность — высокая. Уязвимость, благодаря которой злоумышленник может получить доступ к ячейке памяти после окончания буфера. Эксплуатация уязвимости может привести к отказу в обслуживании или подмене данных.
- CVE‑2024‑0078, серьёзность — средняя. Уязвимость, благодаря которой пользователь гостевой среды может вызвать разыменование NULL-указателя в хосте и добиться отказа в обслуживании.
- CVE‑2024‑0075, серьёзность — средняя. Уязвимость, благодаря которой пользователь может вызвать разыменование NULL-указателя и получить доступ к переданным параметрам, валидность которых не была проверена. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании и ограниченному раскрытию информации.
- CVE‑2022‑42265, серьёзность — средняя. Уязвимость, благодаря которой непривилегированный пользователь может вызвать целочисленное переполнение и добиться к отказа в обслуживании, раскрытии информации и подмены данных.
Рекомендуется обновиться до версии драйвера, в которой эти уязвимости исправлены: 550.54.14 от 23 февраля, 535.161.07 от 22 февраля или 470.239.06 от 22 февраля, либо до более новой версии в соответствующей ветке. Все более ранние версии подвержены этим уязвимостям.
>>> Весь бюллетень