NVIDIA parcha cinco vulnerabilidades críticas en su última actualización de GPU

NVIDIA parcha cinco vulnerabilidades críticas en su última actualización de GPU

Si tienes una GeForce o Quadro -o quizá NVS o Tesla en un entorno más empresarial- actualiza, por si acaso.

El fabricante NVIDIA ha parchado cinco vulnerabilidades encontradas en tarjetas gráficas GeForce, Quadro, NVS y Tesla. Dichas vulnerabilidades pueden causar denegación de servicio, escalado de privilegios y ejecución local de código, desde Windows 7 hasta Windows 10.

Al menos tres de ellas fueron clasificadas de alto riesgo, y permiten la ejecución de código malicioso en tu equipo. Sin embargo, dichas fallas no pueden ser explotadas de manera remota, por lo que precisan de un acceso físico al sistema.

Según el reporte de seguridad de NVIDIA, el parche 431.60 disponible en GeForce Experience ya incorpora el fix para las cinco vulnerabilidades.

NVIDIA parcha cinco vulnerabilidades críticas en su última actualización de GPU

Problemas de alta gravedad

Respecto a los detalles de cada uno, el reporte los aclara en profundidad.  Los tres primeros son los más críticos, llegando el primero de ellos a 8.8 en la escala CVSS.

A saber:

  • CVE-2019-5683: Contiene una vulnerabilidad en el componente buscador de trazas del driver de video en modo usuario. Cuando un atacante tiene acceso al sistema y crea un hard link (la habilidad para unir un archivo de manera lógica a varios nombres en el sistema), el software no comprueba si se trata de un ataque hard link. Este comportamiento puede llevar a ejecución de código, denegación de servicio y escalado de privilegios.
  • CVE-2019-5684: Contiene una vulnerabilidad en los drivers de DirectX, donde un shader especialmente fabricado puede causar un acceso fuera de límites de una matriz de texturas de entrada, lo que puede llevar a denegación de servicio o ejecución de código.
  • CVE-2019-5685: Contiene una vulnerabilidad en los drivers de DirectX, donde un shader especialmente fabricado puede causar un acceso fuera de límites de una matriz de shaders local y temporal, lo que puede llevar a denegación de servicio o ejecución de código.
  • CVE-2019-5686: Contiene una vulnerabilidad en el handler de la capa de kernel (nvlddmkm.sys) para DxgxDdiEscape, donde el software usa una función API o una estructura de datos de una manera que se aprovecha de propiedades que no están garantizadas como válidas, lo que puede conducir a denegación de servicio.
  • CVE-2019-5687: Contiene una vulnerabilidad en el handler de la capa de kernel (nvlddmkm.sys) para DxgxDdiEscape, donde un uso incorrecto de los permisos por defecto de un objeto lo expone a un actor distinto al correcto, lo que puede llevar a descargos de información o denegación de servicio.

De más está decir que si tienes una tarjeta gráfica NVIDIA, actualiza lo antes posible. La manera más sencilla es hacerlo a través de GeForce Experience, si lo tienes.