NVIDIA dice que actualices tus drivers para arreglar vulnerabilidades

NVIDIA ha publicado un boletín de seguridad para todas las versiones de sus controladores hasta la versión 441.12, en el que reportan varias vulnerabilidades incluyendo algunas con posibles posibles ataques de denegación de servicio y escalado de privilegios, pero dice que los usuarios no tienen nada que temer siempre y cuando tengan los últimos drivers instalados.

En dicho boletín de serguridad, la compañía enumera nueve vulnerabilidades de varios grados de severidad (el más grave tiene una puntuación de 7.8 según el estándar CVSS V3) que están presentes en versiones anteriores de los drivers de la compañía. Todos están limitados a vectores locales, así que el riesgo que provoquen dependerá del hardware del sistema y de cómo se accede a él, pero independientemente de esto, nadie quiere tener un sistema vulnerable y más cuando puede evitarlo fácilmente.

GeForce Experience

Esta es la lista que han publicado:

CVE Descripción Puntuación Vector
CVE‑2019‑5690 NVIDIA Windows GPU Display Driver contiene una vulnerabilidad en la capa del modo kernel(nvlddmkm.sys) para DxgkDdiEscape en la que nos e valida el tamaño del búfer de entrada, lo que puede derivar en denegación de servicio escalado de privilegios. 7.8 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE‑2019‑5691 NVIDIA Windows GPU Display Driver contiene una vulnerabilidad en la capa del modo kernel(nvlddmkm.sys) para DxgkDdiEscape en la que un puntero NULL se queda sin referencia, lo que puede derivar en denegación de servicio o escalado de privilegios. 7.8 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE‑2019‑5692 NVIDIA Windows GPU Display Driver contiene una vulnerabilidad en la capa del modo kernel(nvlddmkm.sys) para DxgkDdiEscape en la que el producto utiliza una entrada que no es de confianza cuando calcula o utiliza una matriz de índice, lo que puede resultar en una denegación de servicio o escalado de privilegios. 7.1 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
CVE‑2019‑5693 NVIDIA Windows GPU Display Driver contiene una vulnerabilidad en la capa del modo kernel(nvlddmkm.sys) mediante la que el programa accede a o utiliza un puntero que no ha sido inicializado, lo que puede derivar en denegación de servicio. 6.5 AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
CVE‑2019‑5694 NVIDIA Windows GPU Display Driver contiene una vulnerabilidad en NVIDIA Control Panel imediante la que se cargan DLLs de Windows sin validar la ruta o firma (conocido como DLL preloading attack), lo que puede derivar en denegación de servicio o fuga de información mediante ejecución de código. El atacante requiere acceso físico al sistema local. 6.5 AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE‑2019‑5695 NVIDIA Windows GPU Display Driver contiene una vulnerabilidad en el componente de servicio local, mediante el que un usuario con privilegios de administrador puede cargar DLLs incorrectas sin validar la ruta o la firma, lo que puede derivar en denegación de servicio o fuga de información. 6.5 AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE‑2019‑5696 NVIDIA Virtual GPU Manager tiene una vulnerabilidad mediante la que se provisiona un búfer de tamaño incorrecto a una VM, lo que lleva a la GPU a hacer cálculos fuera de rango y genera denegaciones de servicio. 5.5 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE‑2019‑5697 NVIDIA Virtual GPU Manager contiene una vulnerabilidad mediante la que puede dar acceso a un invitado a la memoria que no le pertenece, generando fuga de información. 5.3 AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
CVE‑2019‑5698 NVIDIA Virtual GPU Manager tiene una vulnerabilidad en el plugin vGPU que genera un índice de entrada incorrecto y puede provocar denegación de servicio. 5.1 AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H

Todas las vulnerabilidades están ya arregladas

Según ha informado la compañía, todas las posibles brechas de seguridad están arregladas desde los drivers 441.12 (y posteriores), e instan a todos los usuarios de tarjetas gráficas de la marca a actualizar tan pronto como sea posible sus drivers para estar cubiertos y seguros frente a estos problemas. De hecho, nosotros iríamos un paso más allá y para asegurarnos de que no queda nada del código de las mencionadas vulnerabilidades, procederíamos a desinstalar los drivers completamente e instalar únicamente la versión actualizada, en lugar de actualizar los existentes.

Por último, NVIDIA también insta a los usuarios a tener siempre instalados los últimos controladores, incluso aunque sean Game Ready, y ya no solo porque mejoran el rendimiento de sus gráficas sino porque aunque no lo digan, también van arreglando vulnerabilidades según se van descubriendo.