NVIDIA ha publicado una actualización de seguridad para su controlador NVIDIA GPU Display Driver. Esta actualización aborda múltiples vulnerabilidades que podrían impactar la confidencialidad, integridad y disponibilidad de los sistemas afectados. A continuación, se detallan las vulnerabilidades reportadas:
- CVE‑2024‑0150 (CVSS 7.1 – Alta): El controlador de pantalla de NVIDIA para Windows y Linux contiene una vulnerabilidad donde se escribe información fuera de los límites de un buffer, lo que puede llevar a la divulgación de información, denegación de servicio o manipulación de datos.
- CVE‑2024‑0147 (CVSS 5.5 – Media): El controlador de pantalla de NVIDIA para Windows y Linux permite acceder a memoria después de ser liberada, lo que puede provocar denegación de servicio o manipulación de datos.
- CVE‑2024‑53869 (CVSS 5.5 – Media): El controlador de memoria unificada de NVIDIA para Linux contiene una vulnerabilidad que podría permitir a un atacante filtrar memoria no inicializada, resultando en divulgación de información.
- CVE‑2024‑0131 (CVSS 4.4 – Media): El controlador del kernel de NVIDIA para Windows y Linux permite a un atacante en modo usuario leer un buffer con una longitud incorrecta, lo que puede causar denegación de servicio.
- CVE‑2024‑0149 (CVSS 3.3 – Baja): El controlador de pantalla de NVIDIA para Linux contiene una vulnerabilidad que podría permitir acceso no autorizado a archivos, resultando en divulgación de información limitada.
- CVE‑2024‑0146 (CVSS 7.8 – Alta): El software NVIDIA vGPU contiene una vulnerabilidad en el Virtual GPU Manager que podría causar corrupción de memoriay permitir ejecución de código, denegación de servicio, divulgación de información o manipulación de datos.
- CVE‑2024‑53881 (CVSS 5.5 – Media): El software NVIDIA vGPU permite que un invitado genere tormentas de interrupciones en el host, lo que podría resultar en denegación de servicio.
Productos, versiones afectadas y solución:
| CVE IDs Addressed | vGPU Software Component | Operating System | Versiones afectadas | Solución | ||
| vGPU Software | Driver | vGPU Software | Driver | |||
| CVE‑2024‑0131 | Guest driver | Windows | Todas las versiones menores iguales a la 17.4. | 553.24 | 17.5 | 553.62 |
| Todas las versiones menores iguales a la 16.8. | 538.95 | 16.9 | 539.19 | |||
| CVE‑2024‑0131 | Guest driver | Linux | Todas las versiones menores iguales a la 17.4. | 550.127.05 | 17.5 | 550.144.03 |
| CVE‑2024‑0149 | ||||||
| CVE‑2024‑53889 | ||||||
| Todas las versiones menores iguales a la 16.8. | 535.216.01 | 16.9 | 535.230.02 | |||
| CVE‑2024‑0131 | Virtual GPU Manager | Citrix Hypervisor, VMware vSphere, Red Hat Enterprise Linux KVM, Ubuntu. | Todas las versiones menores iguales17.4. | 550.127.06 | 17.5 | 550.144.02 |
| CVE‑2024‑0146 | ||||||
| CVE‑2024‑0147 | ||||||
| CVE‑2024‑0149 | ||||||
| CVE‑2024‑0150 | ||||||
| CVE‑2024‑53881 | ||||||
| Todas las versiones menores iguales a la 16.8. | 535.216.01 | 16.9 | 535.230.02 | |||
| CVE‑2024‑0131 | Virtual GPU Manager | Azure Local | Todas las versiones menores iguales a la 17.4. | 553.20 | 17.5 | 553.56 |
| CVE‑2024‑0146 | ||||||
| CVE‑2024‑0147 | ||||||
| CVE‑2024‑0150 | ||||||
| CVE‑2024‑53881 | ||||||
Recomendaciones:
- Actualizar los controladores afectados a las versiones corregidas disponibles en el sitio web oficial de NVIDIA.
- Verificar los sistemas afectados y consultar con un profesional de TI para evaluar el impacto en su configuración específica.
- Implementar políticas de seguridad adecuadas para mitigar riesgos potenciales asociados con estas vulnerabilidades.
Referencias: