Besitzer einer Grafikkarte von Nvidia sollten die installierte Treiberversion überprüfen: Der Hersteller hat Windows-spezifische Security-Updates für die Serien Quadro, NVS und Tesla veröffentlicht, Updates für GeForce sollen kommende Woche folgen. Auch aus der Virtual GPU Manager-Komponente der Nvidia vGPU-Software wurden Sicherheitslücken entfernt.
Ein von Nvidia veröffentlichtes Security Bulletin für September 2020 nennt insgesamt elf Lücken, die mit lediglich zwei Ausnahmen ("Medium"-Einstufung") CVSS-Scores im Bereich "High" aufweisen. Um die Lücken auszunutzen, ist in allen Fällen ein lokaler Zugriff erforderlich – der Angreifer müsste sich also etwa vor Ort am System anmelden oder den derzeit angemeldeten Nutzer zum Ausführen von Schadcode bewegen. Ein erfolgreicher Angriff könnte unter anderem einen Denial-of-Service-Zustand verursachen oder dem Angreifer ermöglichen, seine Rechte auszuweiten, Code auszuführen oder Informationen abzugreifen.
Weitere Informationen und Downloads
Angaben zu verwundbaren und abgesicherten Treiberversionen sind dem Bulletin und der Abbildung in dieser Meldung zu entnehmen. Wie man unter Windows die installierte Version prüfen kann, erläutert NVIDIA in einem Supportbeitrag.
Zum Download der verfügbaren (und anstehenden) Aktualisierungen verweist NVIDIA wiederum auf die Driver Downloads Page (Treiber) und auf den Enterprise Application Hub (vGPU-Software).
- NVIDIA Driver Downloads Page
- NVIDIA Enterprise Application Hub
- NVIDIA-Themenseite bei heise online
Eigentlich sind es elf: CVE‑2020‑5979 fehlt in der Übersicht, wird aber im Bulletin erläutert.
Update 02.10.20, 15:08: Korrektur im ersten Absatz (Termin GeForce-Updates angepasst).
Quelle: Nvidia: Updates für GPU-Treiber schließen zahlreiche Sicherheitslücken | heise online