Nvidia patches ernstige GeForce GPU kwetsbaarheden

0
8

Nvidia zet nieuwe records in AI conversatie training
De GPU maker zegt dat de AI platform heeft nu de snelste training record, de snelste gevolgtrekking, en de grootste opleiding model van zijn soort-to-date.

Nvidia heeft gepatcht een set van ernstige beveiligingslekken in de GeForce Ervaring met grafische software en GPU-Stuurprogramma.

Op donderdag, de technologie reus heeft twee aparte beveiligingsadviezen (1, 2) waarin de kwetsbaarheden, het ergste wat kan leiden tot code-uitvoering of de openbaarmaking van informatie.

Drie kwetsbaarheden zijn verholpen in GeForce Experience. De eerste, CVE‑2019‑5701, is een probleem binnen GameStream. Wanneer ingeschakeld, wordt er een aanvaller met lokale toegang kan laden Intel graphics driver Dll ‘ s zonder pad validatie, mogelijk leidend tot het uitvoeren van willekeurige code, privilege escalation, denial-of-service (DoS), of de openbaarmaking van informatie.

De tweede fout, CVE‑2019‑5689, is aanwezig binnen de GeForce downloader. Lokale toegang, kan een aanvaller het ambacht en de uit te voeren code te dragen en op te slaan schadelijke bestanden, ook die potentieel kunnen leiden tot uitvoering van code, DoS, of het lekken van informatie.

Het derde lek, CVE‑2019‑5695, werd gevonden in de GeForce lokale serviceprovider component. Een aanvaller moet lokale en bevoorrechte toegang misbruik maken van dit beveiligingslek, maar als bereikt, is het mogelijk gebruik te maken van onjuiste Window system DLL laden oorzaak DoS of diefstal van gegevens.

CNET: Lasers kunnen schijnbaar hack Alexa, Google Startpagina en Siri

Zes kwetsbaarheden zijn ook opgelost In de GPU Nvidia Windows Display driver. De meest kritische van deze problemen, CVE‑2019‑5690, is een van de kernel-modus laag-handler voor het probleem dat input formaat niet is gevalideerd, waardoor DoS of rechten escalatie.

Bovendien, CVE‑2019‑5691 heeft gevonden in hetzelfde systeem waarin null-aanwijzer fouten kan aangewend worden voor dezelfde doeleinden.

Twee andere bugs, CVE‑2019‑5692 en CVE‑2019‑5693, beide zijn ook in de kernel-mode laag handler, zijn ook opgelost. De eerste is gerelateerd aan niet-vertrouwde ingang bij de berekening of het gebruik van een array-index, die leidt tot escalatie van bevoegdheden of denial-of-service, terwijl het tweede lek heeft betrekking op hoe het programma heeft toegang tot of het gebruik van pointers. Als uitgebuit, dit probleem kan leiden tot een service weigering.

Zie ook: Nvidia, VMware partner te bieden gevirtualiseerde Gpu ‘ s

De display driver ook opgenomen CVE‑2019‑5694 en CVE‑2019‑5695, onjuist laden van DLL problemen die kunnen worden benut voor DoS of openbaarmaking van informatie.

Nvidia heeft ook opgelost drie kwetsbaarheden in de Virtuele GPU Manager. CVE‑2019‑5696 is een lek dat kan leiden tot out-of-bound toegang door een gast VM, terwijl CVE‑2019‑5697 kunnen worden benut om een gast de toegang tot het geheugen dat het niet eigen, wat leidt tot DoS of het lekken van informatie.

De laatste bug, CVE‑2019‑5698, is in de vGPU plugin en heeft betrekking op onjuiste validatie van input-index waarden. Als uitgebuit, dit lek ook kan leiden tot denial-of-service.

TechRepublic: Hoe boot camps kunnen vullen met de behoefte aan meer witte hoeden in de VS

Alle versies van Nvidia GeForce Ervaring op Windows voorafgaand aan 3.20.1 worden beïnvloed. Nvidia Quadro, NVS R440-versies voorafgaand aan 441.12, R430 en R418, Tesla R440 en R418, en Quadro 390 ook de impact. Patches worden uitgebracht voor Tesla-R440 en R418, en Quadro NVS R430, R418, en R390 volgende week.

Onderzoekers van ACTIVELabs, de Chengdu University of Technology, en SafeBreach Labs zijn bedankte voor het melden van de kwetsbaarheid.

Vorige en aanverwante dekking

Nvidia wint nieuwe AI gevolgtrekking benchmark voor data center en de rand SoC workloads
US Postal Service neemt Nvidia AI te verbeteren van systemen voor het leveren
Nvidia, King ‘ s College in Londen debuut privacy-gerichte manier om te trainen van neurale netwerken

Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters