|
 |
||
|
|
 Accueil > Actualités > Plusieurs vulnérabilités corrigées dans le pilote graphique NVIDIA, le GeForce Experience et le NVFlash Plusieurs vulnérabilités corrigées dans le pilote graphique NVIDIA, le GeForce Experience et le NVFlash
Lors de la publication, tout début novembre, des drivers GeForce 441.12 pour Red Dead Redemption II qui ont précédé la version 441.20 pour Star Wars Jedi : Fallen Order, NVIDIA annonçait dans le changelog avoir corrigé plusieurs failles de sécurité sans pour autant en donner le détail. Le constructeur a en effet souhaité attendre quelques jours avant de divulguer la liste exacte des vulnérabilités sans doute pour qu'une majorité d'utilisateurs soient à jour dans ce laps de temps.Nous en savons donc désormais plus au sujet de ces vulnérabilités qui sont au nombre de neuf dont cinq touchent les produits grand public (cartes graphiques GeForce). Les autres touchent uniquement les cartes professionnelles Quadro, NVS et Tesla. Liste des vulnérabilités corrigées par NVIDIA en novembre 2019
Parmi ces failles, les trois premières ont un score CVSS de base supérieur à 7 ce qui représente un niveau de risque élevé sans toutefois être critique (score de 9 à 10). Les autres failles sont considérées comme modérées. Quoi qu'il en soit, il est vivement recommandé d'installer les derniers drivers graphiques GeForce ou Quadro de la branche R440 (441.12 ou 441.20) pour se protéger de toute exploit. NVIDIA précise que les drivers Quadro, NVS et Tesla des précédentes branches R390, R418 et R430 seront mis à jour dès la semaine prochaine (celle du 18 novembre) pour intégrer ces mêmes correctifs de sécurité. Par ailleurs, on apprend aussi que l'application GeForce Experience contient trois vulnérabilités supplémentaires référencées CVE-2019-5689, CVE-2019-5695 et CVE-2019-5701. Par exemple, le composant GameStream autorise le chargement du pilote graphique Intel sans vérifier le chemin et la signature du fichier DLL. Cette faille est considérée comme d'un niveau élevé (score CVSS de 7,8). Le composant qui se charge de télécharger des données est également vulnérable et peut télécharger des fichiers malveillants. Ces failles ont été corrigées à partir de la version 3.20.1.57 du GFE qui vient tout juste d'être intégrée au pilote GeForce 441.20. Pour finir, NVIDIA révèle que son utilitaire de mise à jour du BIOS des cartes graphiques à savoir le NVFlash (ou Firmware Update Utility) est aussi victime d'une faille de sécurité. Cet outil a recours aux fichiers nvflash.sys, nvflsh32.sys et nvflsh64.sys et donne accès aux utilisateurs à la mémoire du GPU voire à celle d'autre périphériques non NVIDIA avec tout ce qui en découle en termes d'élévation de privilèges, d'accès aux données ou d'attaques DoS. Contrairement au pilote graphique et au GeForce Experience, le NVFlash ne tourne pas en permanence et est exécuté uniquement de manière ponctuelle. De plus, seuls des utilisateurs assez expérimentés y ont recours. La probabilité de se faire pirater de cette façon est donc moindre. NVIDIA à corrigé cette faille CVE-2019-5688 à partir de la version 5.588.0 du NVFlash que nous n'avons toutefois pas encore trouvé en ligne. Mise à jour du 20/11/2019 NVIDIA a complété son bulletin de sécurité de novembre 2019 (4928) et annonce maintenant que l'outil GPUModeSwitch est également touché par la faille CVE-2019-5688 tout comme l'utilitaire NVFlash. Le GPUModeSwitch est un outil qui démarre temporairement le système sous Linux dans une interface en ligne de commande et permet de choisir entre le mode Graphics et le mode Compute ce qui permet d'utiliser les cartes graphiques Tesla soit pour de l'affichage traditionnel soit exclusivement pour des calculs.  Actualité publiée par Julien Sambourg le mercredi 13 novembre 2019 à 16:23
Commenter cette actualité
Marque associée :
 NVIDIA
Catégorie associée :
 Carte graphique
 Flux RSS des actualités TousLesDrivers.com
|
|
 |
