اختصاصی افتانا: انویدیا ۲۹ باگ درایورهای پردازندههای گرافیکی خود را وصله کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از رجیستر،
انویدیا بیش از دوجین نقص امنیتی را در درایور نمایشگر GPU خود برطرف کرده است که شدیدترین آنها میتواند به یک مهاجم سایبری اجازه دهد تا فایلها را تغییر دهد و سپس دسترسی خود به سیستم را افزایش دهد، کد از راه دور اجرا کند، داده ها را دستکاری یا سرقت کند یا حتی دستگاه فرد قربانی را تحت کنترل بگیرد.
در مجموع، این شرکت سازنده تراشه ۲۹
آسیبپذیری از جمله ۱۰ باگ با شدت بالا را که بر محصولات ویندوز و لینوکس تأثیر میگذاشت، وصله کرد.
انویدیا اطلاعات فنی زیادی در مورد این نقصها منتشر نمیکند تا اطمینان حاصل کند که مشتریان میتوانند سیستمهای خود را قبل از اینکه عاملان تهدید از این آسیبپذیریها بهرهبرداری کنند، وصله کنند.
شدیدترین مورد، که با شناسه CVE-۲۰۲۲-۳۴۶۶۹ ردیابی میشود بر نسخه ویندوز درایور نمایشگر GPU تأثیر میگذارد و امتیاز CVSS ۸.۸ را دریافت میکند.
به گفته انویدیا، این آسیبپذیری میتواند به یک کاربر عادی غیرمجاز اجازه دسترسی یا اصلاح فایلهای سیستم یا سایر فایلهایی را که برای برنامه حیاتی هستند، بدهد. بهرهبرداری موفقیتآمیز میتواند منجر به اجرای کد، انکار سرویس، افزایش دسترسیها، افشای اطلاعات یا دستکاری دادهها شود.
یکی دیگر از نقصهای شدید CVE-۲۰۲۲-۳۴۶۷۱ است که بر روی محصول ویندوز تأثیر میگذارد و رتبه ۸.۵ CVSS را دریافت کرده است، در لایه حالت کاربر درایور نمایشگر GPU وجود دارد. به گفته انویدیا، این یکی میتواند به یک کاربر غیرمجاز اجازه دهد که باعث نوشتن خارج از محدوده شود، همچنین منجر به اجرای کد، انکار سرویس، افزایش دسترسی، افشای اطلاعات یا دستکاری دادهها شود.
دیگر آسیبپذیریهای پردازندههای گرافیکی انویدیا دارای شدت ۷.۸ از سیستم CVSS هستند که در ادامه به بررسی آنها میپردازیم.
CVE-۲۰۲۲-۳۴۶۷۲، یک آسیبپذیری در کنترل پنل ویندوز است که میتواند به کاربر غیرمجاز اجازه دسترسی بیشتر، خواندن اطلاعات حساس و اجرای دستورات را بدهد.
CVE-۲۰۲۲-۳۴۶۷۰ در کنترلکننده لایه حالت هسته درایور نمایشگر GPU برای لینوکس یافت میشود. بولتن امنیتی انویدیا هشدار داد: «یک کاربر معمولی غیرمجاز میتواند باعث ایجاد خطاهای کوتاهسازی شود، زمانی که فرستادن یک فرد به فرد با اندازه کوچکتر باعث از بین رفتن دادهها در تبدیل میشود که ممکن است منجر به انکار سرویس یا افشای اطلاعات شود.»
CVE-۲۰۲۲-۴۲۲۶۰، همچنین در نسخه لینوکس درایور نمایشگر GPU دیده میشود. این آسیبپذیری به دلیل حفظ نادرست مجوزها در فایل پیکربندی D-Bus به وجود آمده است. این سازنده تراشه گفت که یک کاربر غیرمجاز در VM مهمان میتواند از این باگ در نقاط پایانی محافظت شده D-Bus سوء استفاده کند که منجر به اجرای کد، انکار سرویس، افزایش دسترسی، افشای اطلاعات یا دستکاری دادهها میشود.
در نهایت، CVE-۲۰۲۲-۴۲۲۶۱ یک نقص در نرم افزار مدیریت GPU مجازی است که یک شاخص ورودی را به درستی تایید نمیکند و منجر به سرریز بافر، دستکاری دادهها، افشای اطلاعات یا انکار سرویس میشود.
این ۲۹ باگ که در بولتن امنیتی انویدیا توضیح داده شدهاند، چندین محصول مختلف نرمافزار انویدیا را تحت تأثیر قرار میدهد که از جمله آنها GeForce، Studio، Nvidia RTX، Quadro، NVS و Tesla است که روی سیستم های ویندوز اجرا می شوند. به علاوه GeForce، Nvidia RTX، Quadro، NVS و Tesla در دستگاههای مبتنی بر لینوکس نیز دارای این آسیبپذیریها هستند.
منبع:
The Register