-
06/04/2022
-
23
-
41 bài viết
Nvidia vá lỗi thực thi mã trong trình điều khiển đồ họa
NVIDIA đã thông báo về việc tung ra các bản cập nhật cho trình điều khiển đồ họa của mình để giải quyết nhiều lỗ hổng, bao gồm bốn CVE được đánh giá là “có mức độ nghiêm trọng cao”.
Các CVE nghiêm trọng nhất trong số này là CVE‑2022‑28181 và CVE‑2022‑28182 (điểm CVSS là 8.5), có thể dẫn đến "thực thi mã, từ chối dịch vụ, leo thang đặc quyền, tiết lộ thông tin và giả mạo dữ liệu" - NVIDIA thông báo.
Cả hai lỗ hổng bảo mật trên đều có thể bị khai thác bởi kẻ tấn công trái phép để gây ra việc “ghi dữ liệu ngoài giới hạn thông qua một trình tạo bóng trong đồ họa được chế tạo đặc biệt”.
Công ty cho biết mặc dù CVE-2022‑28181 có ảnh hưởng đến cả phiên bản Windows và Linux của trình điều khiển đồ họa, CVE-2022‑28182 chỉ tồn tại trong trình điều khiển khi chạy với chế độ người dùng phiên bản Windows cùng DirectX11.
Các lỗ hổng bảo mật đã được báo cáo bởi các nhà nghiên cứu bảo mật của Cisco Talos, họ nói rằng CVE-2022‑28182 trên thực tế đã mô tả ba vấn đề về bộ nhớ được xác định trong trình điều khiển NVIDIA D3D10 phiên bản 496.76, 30.0.14.9676.
“Kẻ tấn công có thể khai thác các lỗ hổng này bằng cách gửi cho mục tiêu một trình tạo bóng hoặc một tệp thực thi được chế tạo đặc biệt. Lỗ hổng này cũng có thể cho phép kẻ tấn công thực hiện một cuộc tấn công từ máy ảo đến máy thật nếu như nạn nhân đang sử dụng các trình ảo hóa” - các nhà nghiên cứu lưu ý.
Tiếp theo là CVE‑2022‑28183 (điểm CVSS là 7.7) và CVE‑2022‑28184 (điểm CVSS là 7.1), hai lỗ hổng có mức độ nghiêm trọng cao khác được giải quyết bằng bản vá lỗi tháng 5 năm 2022 của NVIDIA sẽ ảnh hưởng đến cả trình điều khiển Windows và Linux.
Cả hai lỗ hổng trên đều có thể dẫn đến việc từ chối dịch vụ và tiết lộ thông tin, đồng thời CVE‑2022‑28184 cũng có thể bị lợi dụng để giả mạo dữ liệu.
Sáu lỗ hổng còn lại mà NVIDIA đã giải quyết trong trình điều khiển đồ họa của mình trong tháng này được đánh giá là “mức độ nghiêm trọng trung bình”. Hai lỗi có mức độ nghiêm trọng trung bình khác đã được giải quyết trong phần mềm vGPU, cả hai đều dẫn đến việc từ chối dịch vụ.
Người dùng nên truy cập trang tải xuống trình điều khiển của NVIDIA để cài đặt các bản cập nhật trình điều khiển mới nhất cho hệ thống của họ.
Các CVE nghiêm trọng nhất trong số này là CVE‑2022‑28181 và CVE‑2022‑28182 (điểm CVSS là 8.5), có thể dẫn đến "thực thi mã, từ chối dịch vụ, leo thang đặc quyền, tiết lộ thông tin và giả mạo dữ liệu" - NVIDIA thông báo.
Cả hai lỗ hổng bảo mật trên đều có thể bị khai thác bởi kẻ tấn công trái phép để gây ra việc “ghi dữ liệu ngoài giới hạn thông qua một trình tạo bóng trong đồ họa được chế tạo đặc biệt”.
Công ty cho biết mặc dù CVE-2022‑28181 có ảnh hưởng đến cả phiên bản Windows và Linux của trình điều khiển đồ họa, CVE-2022‑28182 chỉ tồn tại trong trình điều khiển khi chạy với chế độ người dùng phiên bản Windows cùng DirectX11.
Các lỗ hổng bảo mật đã được báo cáo bởi các nhà nghiên cứu bảo mật của Cisco Talos, họ nói rằng CVE-2022‑28182 trên thực tế đã mô tả ba vấn đề về bộ nhớ được xác định trong trình điều khiển NVIDIA D3D10 phiên bản 496.76, 30.0.14.9676.
“Kẻ tấn công có thể khai thác các lỗ hổng này bằng cách gửi cho mục tiêu một trình tạo bóng hoặc một tệp thực thi được chế tạo đặc biệt. Lỗ hổng này cũng có thể cho phép kẻ tấn công thực hiện một cuộc tấn công từ máy ảo đến máy thật nếu như nạn nhân đang sử dụng các trình ảo hóa” - các nhà nghiên cứu lưu ý.
Tiếp theo là CVE‑2022‑28183 (điểm CVSS là 7.7) và CVE‑2022‑28184 (điểm CVSS là 7.1), hai lỗ hổng có mức độ nghiêm trọng cao khác được giải quyết bằng bản vá lỗi tháng 5 năm 2022 của NVIDIA sẽ ảnh hưởng đến cả trình điều khiển Windows và Linux.
Cả hai lỗ hổng trên đều có thể dẫn đến việc từ chối dịch vụ và tiết lộ thông tin, đồng thời CVE‑2022‑28184 cũng có thể bị lợi dụng để giả mạo dữ liệu.
Sáu lỗ hổng còn lại mà NVIDIA đã giải quyết trong trình điều khiển đồ họa của mình trong tháng này được đánh giá là “mức độ nghiêm trọng trung bình”. Hai lỗi có mức độ nghiêm trọng trung bình khác đã được giải quyết trong phần mềm vGPU, cả hai đều dẫn đến việc từ chối dịch vụ.
Người dùng nên truy cập trang tải xuống trình điều khiển của NVIDIA để cài đặt các bản cập nhật trình điều khiển mới nhất cho hệ thống của họ.
Nguồn: Security Week
Chỉnh sửa lần cuối bởi người điều hành: