Nvidia hat den aktuellen Grafikkartentreiber 441.12 nicht nur für das lang erwartete Windows-PC-Spiel "Red Dead Redemption 2 optimiert, sondern auch einige Sicherheitslücken beseitigt. Darüber hinaus haben sie noch ihr Optimierungstool Geforce Experience aktualisiert und die abgesicherte Ausgabe 3.20.1 veröffentlicht. Alle vorigen Versionen sollen bedroht sein.
"Hoch", nicht "kritisch"
Wer die Software nicht aktualisiert riskiert, dass Angreifer sich mit Schadcode auf Windows-Computern breit machen könnten. Die gefährlichsten Schwachstellen hat Nvidia mit dem Bedrohungsgrad "hoch" eingestuft.
Aus den Warnmeldungen zum GPU-Treiber und Geforce Experience geht hervor, dass Angreifer für eine erfolgreiche Attacke lokalen Zugriff benötigen. Deswegen gilt die Bedrohung auch nicht als kritisch.
Hat ein Angreifer lokalen Zugriff und kann seinen Exploit erfolgreich platzieren, könnte er DoS-Attacken ausüben, sich höhere Nutzerrechte verschaffen. Auch die Ausführung von Schadcode ist in einigen Fällen vorstellbar.
Der abgesicherte Treiber ist bereits für Karten der Geforce-Serie und für einige der Quadro-Reihe verfügbar. Für die verbleibenden Quadro-Karten und die Tesla-Reihe soll der Treiber in der Woche ab 18.11.2019 erscheinen.
Quelle: Schwachstellen in Nvidias GPU-Treiber und Geforce Experience gefährden Windows | heise online
Update: 11.11.2019
Nvidia schließt schwerwiegende Lücken in Grafiksoftware und GPU-Treibern
Sie erlauben das Einschleusen und Ausführen von Schadcode. Unter Umständen werden auch DoS-Angriffe und Datendiebstahl begünstigt. Zum Teil lassen sich die Anfälligkeiten jedoch nur über einen direkten Zugang zu einem ungepatchten System ausnutzen.
Nvidia hat Ende vergangener Woche zwei Sicherheitswarnungen veröffentlicht. Sie beschreiben Schwachstellen, die das Unternehmen mit Updates für seine Grafik-Software GeForce Experience und seine GPU-Treiber behebt. Im schlimmsten Fall lassen sich die Anfälligkeiten benutzen, um Schadcode einzuschleusen und auszuführen oder persönliche Informationen zu stehlen.
In der GeForce-Experience-Software stecken demnach drei Sicherheitslücken. Über die Funktion GameStream kann ein Angreifer einem lokalen Zugriff auf ein System ein speziell präparierte DLL-Datei laden, da deren Pfad nicht geprüft wird. Der GeForce Downloader wiederum ist anfällig für eine Codeausführung – ein Angreifer benötigt allerdings auch dafür einen lokalen Zugang.
Das gilt auch für einen Fehler im lokalen GeForce Service Provider. Hier könnten Unbefugte speziell präparierte Windows-Systembibliotheken laden und ein Denial-of-Service auslösen oder Daten stehlen.
Im Windows-Display-Treiber für Nvidia-Grafikkarten beseitigt der Hersteller sechs Anfälligkeiten. Drei davon betreffen den Kernelmodus und erlauben eine nicht autorisierte Ausweitung von Nutzerrechten. Die anderen drei Fehler im Grafiktreiber öffnen ein Tür für Denial-of-Service-Angriffe, unter anderem, weil DLL-Dateien nicht korrekt verarbeitet werden.
Darüber hinaus korrigierte Nvidia drei Fehler im Virtual GPU Manager. Unter anderem könnte ein Gastsystem Zugriff auf Speicherinhalte des Host-Systems erhalten. Nach Angaben des Unternehmens werden dadurch Denial-of-Service-Angriffe und der Diebstahl von Informationen ermöglicht.
Betroffen sind alle Versionen von Nvidia GeForce Experience for Windows vor 3.20.1. Anfällig sind auch ältere Versionen von Nvidia Quadro, NVS R440, R340, R418, Tesla R440 und
R418. Letztere erhalten die benötigten Patches allerdings erst in dieser Woche.
Quelle: Nvidia schließt schwerwiegende Lücken in Grafiksoftware und GPU-Treibern | ZDNet.de