[English]Hersteller Nvidia hat gerade einen kritische Schwachstelle in seinem Windows GPU-Grafiktreiber durch ein Update behoben. Die Schwachstellen konnten zu einer Privilegien-Erhöhung und einer Code-Ausführung oder Informationsdiebstahl führen.
Anzeige
Das Update wurde am Freitag, den 28. Februar 2020 bereitgestellt, wie ich nachfolgendem Tweet von Bleeping Computer entnehme.
NVIDIA Fixes High Severity Flaw in Windows GPU Display Driver – by @sergheihttps://t.co/9JTqOa0vJE
— BleepingComputer (@BleepinComputer) February 28, 2020
Das Treiberupdate für den GPU-Grafiktreiber behebt gleich mehrere Sicherheitslücken mit hohem und mittlerem Schweregrad.
Die Sicherheitslücken
Die beiden Schwachstellen in den Windows GPU-Grafiktreibern besitzen die CVSS V3-Basisbewertungen von 6,7 bis 8,4. Drei NVIDIA vGPU-Softwarefehler haben dagegen eine Schweregradbewertung zwischen 5,5 und 7,8 erhalten. Auf ungepatchten Systemen ergeben sich folgende Risiken:
Anzeige
- Lokale Angreifer können ihre Privilegien ausweiten, ohne dass eine Benutzerinteraktion erforderlich ist.
- Lokale Angreifer könnten nicht gepatchte Rechner durch Auslösen von Denial-of-Service-Angriffen vorübergehend unbrauchbar zu machen, oder bösartigen Code auszuführen oder auf sensible Informationen auf den Zielsystemen zuzugreifen.
Glücklicherweise erfordern alle Schwachstellen, dass der Angreifer bereit lokal aktiv sein muss, eine Remote-Ausnutzung ist nicht möglich. Nachfolgende Tabelle enthält eine Auflistung der Schwachstellen.
CVEs for NVIDIA GPU Display Driver
| CVE | Description | Base Score |
| CVE‑2020‑5957 | NVIDIA Windows GPU Display Driver contains a vulnerability in the NVIDIA Control Panel component in which an attacker with local system access can corrupt a system file, which may lead to denial of service or escalation of privileges. | 8.4 |
| CVE‑2020‑5958 | NVIDIA Windows GPU Display Driver contains a vulnerability in the NVIDIA Control Panel component in which an attacker with local system access can plant a malicious DLL file, which may lead to code execution, denial of service, or information disclosure. | 6.7 |
CVEs for NVIDIA vGPU Software
| CVE | Description | Base Score |
| CVE‑2020‑5959 | NVIDIA Virtual GPU Manager contains a vulnerability in the vGPU plugin, in which an input index value is incorrectly validated, which may lead to denial of service. | 7.8 |
| CVE‑2020‑5960 | NVIDIA Virtual GPU Manager contains a vulnerability in the kernel module (nvidia.ko), where a null pointer dereference may occur, which may lead to denial of service. | 6.5 |
| CVE‑2020‑5961 | NVIDIA vGPU graphics driver for guest OS contains a vulnerability in which an incorrect resource clean up on a failure path can impact the guest VM, leading to denial of service. | 5.5 |
Nvidia hat diese Sicherheitswarnung mit weiteren Details zu diesen Schwachstellen und dem Update freigegeben. Dort ist auch aufgelistet, welche Treiberversionen betroffen sind und welche Updates bereitstehen.
Anzeige
Hmmm, bestehen diese Lücken in allen Treibern, oder nur für neuere GPUs betreffende?
Für meine GeForce GT 750M ist der letzte Stand 425.31 von 2019.04.11 … :-/
Schau doch mal bei Nvidia nach. Der Katalog ist mE sehr gut und da könnten andere Anbieter noch was lernen.
Link ist hier –
https://www.nvidia.com/Download/index.aspx?lang=en-us
Es gibt auch eine "deutsche" Seite. Man kann auch das automatisch überprüfen lassen. Dazu ist aber Java Script erforderlich.
Lade keine Entwürfe runter sondern nur freigegebene. Die sind dort auch gekennzeichnet-
Genau da habe ich geschaut. Danke trotzdem. ;-)
Zur Treiber Version 450.12 / 03.01.2020 (via Windows 10 Fast Ring Update) hat NVIDIA leider nichts geschrieben.