Nvidia hat erhebliche Sicherheitslücken in den Treibern für seine Grafikkarten identifiziert. Diese Schwachstellen erlauben es Angreifern ihre Zugriffsrechte im System zu erhöhen. Glücklicherweise gibt es bereits aktualisierte Treiber die diese Probleme beheben.
Details zu den Sicherheitslücken
In einer Sicherheitsmitteilung macht verständlich Nvidia die gefundenen Lücken. Die Sicherheitsanfälligkeiten betreffen eine Vielzahl von Grafikkarten, einschließlich Geforce, Quadro, RTX und ebenfalls NVS & Tesla-Streamingprozessoren. Sowohl die Linux- sowie die Windows-Versionen der Treiber sind betroffen.
Hochriskante Sicherheitslücken
Nvidia hält sich mit Informationen über die Schwachstellen zurück. Ein besonders kritisches Problem beschreibt das Unternehmen wie folgt: Der Nvidia GPU Display-Treiber für Linux und Windows weist eine Lücke auf die es Angreifern mit bestimmten Zugriffsrechten ermöglicht, ihre vollständigen Rechte auszudehnen. Ein erfolgreicher Angriff könnte gravierende Folgen haben – einschließlich der Ausführung von schädlichem Code, einem Denial-of-Service oder dem Diebstahl und der Manipulation von Daten. Die Sicherheitsbewertung für diese Schwachstelle liegt bei CVSS 8.2 (CVE‑2024‑0126) und wird als hoch eingestuft.
Fünf weitere Sicherheitsanfälligkeiten im Windows-Treiber betreffen den Usemode-Code. Diese Probleme ermöglichen es Nutzern ohne signifikante Systemrechte, auf Daten zuzugreifen die normalerweise geschützt sind (CVE‑2024‑0117 bis CVE‑2024‑0121, alle CVSS 7.8, hoch). Die Auswirkungen sind deckungsgleich die der schwerwiegendsten Schwachstelle.
Zusätzliche Schwachstellen in der vGPU-Software
Zwei weitere Sicherheitslücken betreffen die vGPU-Software von Nvidia. Im GPU-Kernel-Treiber können Nutzer des Gast-Betriebssystems eine falsche Eingabeprüfung auslösen, indem sie den Gast-System-Kernel kompromittieren. Dies führt dazu, dass Angreifer potenziell gefährlichen Code ausführen können. Solche Angriffe könnten ähnlich wie zu Datenmanipulation oder unbefugtem Zugriff auf Informationen führen (CVE‑2024‑0127, CVSS 7.8, hoch). Eine zusätzliche Schwachstelle erlaubt bösartigen Akteuren den Zugriff auf globale Ressourcen aus dem Gast-Betriebssystem (CVE‑2024‑0128, CVSS 7.1, hoch).
Verfügbare Treiber-Updates
Um diese Sicherheitsprobleme zu beheben, stehen aktualisierte Treiber zur Verfügung. Der Geforce-Treiber für Windows ist nun in Version 566.03 erhältlich. Für RTX-, Quadro-, NVS- & Tesla-Karten stehen die Versionen 566.03, 553.24 und 538.95 bereit. In Bezug auf Linux können die korrigierten Treiberversionen 565.57.01, 550.127.05 und 535.216.01 heruntergeladen werden.
Die vGPU-Software in der Version 16.8 (Treiberversion 538.95 für Windows oder 535.216.01 für Linux) enthält wichtige Fixes. Neuere Versionen enthalten auch Patches für technische Sicherheitslecks die ausbetriebsbasierten Treibern resultieren.
Im Juli veröffentlichte Nvidia bereits Treiber-Updates die auf Sicherheitslücken abzielten. Damals wurden vor allem PCs mit Geforce- oder RTX-Grafikkarten geschützt.
Um sicherzustellen, dass die Systeme sicher bleiben ist es ratsam die neuesten Versionen der Nvidia-Treiber umgehend zu installieren.
Kommentare