Es hat sich herausgestellt, dass Nvidia mit dem jüngsten Cache von GPU-Treiber-Updates auf eigene Sicherheitsprobleme gestoßen ist.
Angesichts der aktuellen Kontroversen um Datenschutzverletzungen großen Ausmaßes, wie dem jüngsten Capital One-Hack, ist es keine gute Idee, hier einen Fehler zu begehen. Glücklicherweise hat der GPU-Hersteller anscheinend alles richtig gemacht und es geschafft, mehrere Korrekturen für verschiedene Klassen von Sicherheitslücken in ein einziges Update zu packen.
Bei den meisten Problemen handelt es sich um direkte Schwachstellen im Windows-GPU-Anzeigetreiber bzw. in der Komponente, die das Video-Rendering auf der Basisebene der Nvidia-Software steuert. Einige Probleme mit in böser Absicht erstellten Ressourcen könnten es Benutzern ermöglichen, über DirectX bösartigen Code auszuführen. Andere Probleme betreffen Kernel-Modus-Aspekte der Software, die es einem Angreifer ermöglichen könnten, Denial-of-Service-Angriffe auszuführen und den Zielcomputer lahmzulegen.
Was die betroffenen Plattformen betrifft, so sind bestimmte Produktlinien innerhalb der Tesla-, Quadro- und GeForce-GPU-Reihen betroffen.
Bei Quadro- und NVS-Hardware sind alle R390-Versionen vor 392.56 für einige Exploits anfällig, ebenso wie alle R400-Versionen. Schließlich sind auch alle R430-Versionen vor 431.70 in gewissem Umfang anfällig. Alle GeForce-GPUs, auf denen alle R430-Versionen vor 431.60 laufen, sind für diese Schwachstellen anfällig. Und bei den Tesla-Modellen sind alle R418-Versionen verwundbar.
Die von NVIDIA im Rahmen des Sicherheitsupdates vom August 2019 behobenen Software-Sicherheitslücken sind nachstehend aufgeführt, zusammen mit vollständigen Beschreibungen und den CVSS V3-Basisscores, die das Unternehmen für jede dieser Schwachstellen vergeben hat.
CVEDescriptionBase Score
CVE-2019-5683 | Der NVIDIA Windows GPU Display Driver enthält eine Sicherheitslücke in der Trace-Logger-Komponente des Videotreibers im Benutzermodus. Wenn ein Angreifer Zugriff auf das System hat und einen Hardlink erstellt, prüft die Software nicht auf Hardlink-Angriffe. Dieses Verhalten kann zur Ausführung von Code, zur Verweigerung von Diensten oder zur Eskalation von Privilegien führen. | 8.8 |
CVE-2019-5684 | NVIDIA Windows GPU Display Driver enthält eine Schwachstelle in DirectX-Treibern, bei der ein speziell gestalteter Shader einen Out-of-Bounds-Zugriff auf ein Eingabetextur-Array verursachen kann, was zu einer Dienstverweigerung oder Codeausführung führen kann. | 7.8 |
CVE-2019-5685 | Der NVIDIA Windows GPU Display Driver enthält eine Schwachstelle in DirectX-Treibern, bei der ein speziell gestalteter Shader einen Out-of-Bounds-Zugriff auf ein lokales temporäres Shader-Array verursachen kann, was zu einer Dienstverweigerung oder Codeausführung führen kann. | 7.8 |
CVE-2019-5686 | Der NVIDIA Windows GPU Display Driver enthält eine Schwachstelle im Kernel Mode Layer (nvlddmkm.sys) Handler für DxgkDdiEscape, bei der die Software eine API-Funktion oder Datenstruktur auf eine Weise verwendet, die sich auf Eigenschaften stützt, deren Gültigkeit nicht immer garantiert ist, was zu einer Dienstverweigerung führen kann. | 5.6 |
CVE-2019-5687 | Der NVIDIA Windows GPU Display Driver enthält eine Schwachstelle im Kernel Mode Layer (nvlddmkm.sys) Handler für DxgkDdiEscape, bei der eine inkorrekte Verwendung von Standardberechtigungen für ein Objekt dieses einem unbeabsichtigten Akteur zugänglich macht, was zur Offenlegung von Informationen oder zu einer Dienstverweigerung führen kann. | 5.2 |
Sie können die neuesten gepatchten Treiber hier herunterladen. Es ist auch sehr empfehlenswert, DDU zu verwenden, um alle vorherigen Treiber zu entfernen und eine saubere Installation der aktualisierten Versionen durchzuführen, wenn möglich.