NVIDIA ha liberado actualizaciones de seguridad para corregir seis fallos de seguridad encontrados en los controladores GPU para Windows y Linux, además de diez vulnerabilidades adicionales que afectan al software de administración vGPU.
Los fallos detectados ocasionan que los dispositivos que cuenten con este tipo de hardware sean vulnerables frente a ataques que conducen a la denegación de servicio, escalación de privilegios de privilegios, exfiltración de datos o la divulgación de información. Los errores han sido categorizados con puntajes CVSS que van de 5.3 a 8.4, y 11 de ellos han recibido una evaluación de alto riesgo por el fabricante.
De la misma forma, los atacantes pueden escalar fácilmente los privilegios para conseguir elevación de permisos sobre los predeterminados que hayan sido otorgados por el sistema operativo. También pueden explotarse para hacer que las máquinas que ejecutan controladores o software vulnerables sean temporalmente inutilizables activando estados de inacción o para obtener acceso a información la cual no se tiene autorización.
NVIDIA ha solventado los problemas de seguridad en todos los productos y plataformas de software afectados, con la excepción de aquellos identificados como CVE‑2021‑1052, CVE-2021‑1053 y CVE-2021‑1056. En dichos casos, son afectados los controladores de pantalla de GPU de Linux para las GPU de Tesla. Estos productos recibirán una versión actualizada del controlador a partir del próximo de enero de 2021.
Se recomienda a los usuarios finales que cuenten con los productos de NVIDIA, controladores de pantalla de GPU GeForce, NVIDIA RTX, Quadro, NVS y Tesla, así como el administrador de GPU virtual y el software del controlador invitado, aplicar las actualizaciones de seguridad disponibles en el portal oficial del fabricante.
Referencia: