Rechercher sur TLD Google
Favoris   Démarrage   Envoyer   Imprimer   Moteur TLD   RSS


Accueil > Actualités > Plusieurs vulnérabilités corrigées dans le pilote graphique NVIDIA, le GeForce Experience et le NVFlash

Plusieurs vulnérabilités corrigées dans le pilote graphique NVIDIA, le GeForce Experience et le NVFlash

Lors de la publication, tout début novembre, des drivers GeForce 441.12 pour Red Dead Redemption II qui ont précédé la version 441.20 pour Star Wars Jedi : Fallen Order, NVIDIA annonçait dans le changelog avoir corrigé plusieurs failles de sécurité sans pour autant en donner le détail. Le constructeur a en effet souhaité attendre quelques jours avant de divulguer la liste exacte des vulnérabilités sans doute pour qu'une majorité d'utilisateurs soient à jour dans ce laps de temps.

Nous en savons donc désormais plus au sujet de ces vulnérabilités qui sont au nombre de neuf dont cinq touchent les produits grand public (cartes graphiques GeForce). Les autres touchent uniquement les cartes professionnelles Quadro, NVS et Tesla.

Liste des vulnérabilités corrigées par NVIDIA en novembre 2019

  • CVE-2019-5690 : L'appel à la fonction DxgkDdiEscape dans le pilote noyau (nvlddmkm.sys) ne vérifie pas correctement la taille de la mémoire tampon d'entrée ce qui peut aboutir à un déni de service voire à une élévation de privilèges.
  • CVE-2019-5691 : L'appel à la fonction DxgkDdiEscape dans le pilote noyau (nvlddmkm.sys) peut déréférencer un pointeur NULL ce qui peut aboutir à un déni de service voire à une élévation de privilèges.
  • CVE-2019-5692 : L'appel à la fonction DxgkDdiEscape dans le pilote noyau (nvlddmkm.sys) ne vérifie pas correctement certaines entrées pour les calculs ou pour l'indexation d'un tableau ce qui peut aboutir à un déni de service voire à une élévation de privilèges.
  • CVE-2019-5693 : Le pilote noyau (nvlddmkm.sys) n'initialise pas un pointeur utilisé par l'application ce qui peut aboutir à un déni de service.
  • CVE-2019-5694 : Le panneau de configuration NVIDIA Control Panel ne vérifie pas correctement le chemin ou la signature de certaines bibliothèques système Windows (DLL) avant de les charger ce qui peut aboutir à un déni de service voire à la divulgation d'informations.
  • CVE-2019-5695 : Le composant de fourniture de services ne vérifie pas correctement le chemin ou la signature de certaines bibliothèques système Windows (DLL) avant de les charger ce qui peut aboutir à un déni de service voire à la divulgation d'informations.
  • CVE-2019-5696 : Le composant NVIDIA Virtual GPU Manager peut fournir une mémoire tampon de taille incorrecte aux machines virtuelles invitées ce qui peut aboutir à un déni de service.
  • CVE-2019-5697 : Le composant NVIDIA Virtual GPU Manager peut autoriser l'accès à une zone mémoire dont il n'est pas propriétaire ce qui peut aboutir à un déni de service voire à la divulgation d'informations.
  • CVE-2019-5698 : Le composant NVIDIA Virtual GPU Manager et le plugin vGPU ne valident pas correctement un index d'entrée ce qui peut aboutir à un déni de service.

Parmi ces failles, les trois premières ont un score CVSS de base supérieur à 7 ce qui représente un niveau de risque élevé sans toutefois être critique (score de 9 à 10). Les autres failles sont considérées comme modérées. Quoi qu'il en soit, il est vivement recommandé d'installer les derniers drivers graphiques GeForce ou Quadro de la branche R440 (441.12 ou 441.20) pour se protéger de toute exploit. NVIDIA précise que les drivers Quadro, NVS et Tesla des précédentes branches R390, R418 et R430 seront mis à jour dès la semaine prochaine (celle du 18 novembre) pour intégrer ces mêmes correctifs de sécurité.

Par ailleurs, on apprend aussi que l'application GeForce Experience contient trois vulnérabilités supplémentaires référencées CVE-2019-5689, CVE-2019-5695 et CVE-2019-5701. Par exemple, le composant GameStream autorise le chargement du pilote graphique Intel sans vérifier le chemin et la signature du fichier DLL. Cette faille est considérée comme d'un niveau élevé (score CVSS de 7,8). Le composant qui se charge de télécharger des données est également vulnérable et peut télécharger des fichiers malveillants. Ces failles ont été corrigées à partir de la version 3.20.1.57 du GFE qui vient tout juste d'être intégrée au pilote GeForce 441.20.

Pour finir, NVIDIA révèle que son utilitaire de mise à jour du BIOS des cartes graphiques à savoir le NVFlash (ou Firmware Update Utility) est aussi victime d'une faille de sécurité. Cet outil a recours aux fichiers nvflash.sys, nvflsh32.sys et nvflsh64.sys et donne accès aux utilisateurs à la mémoire du GPU voire à celle d'autre périphériques non NVIDIA avec tout ce qui en découle en terme d'élévation de privilèges, d'accès aux données ou d'attaques DoS. Contrairement au pilote graphique et au GeForce Experience, le NVFlash ne tourne pas en permanence et est exécuté uniquement de manière ponctuelle. De plus, seuls des utilisateurs assez expérimentés y ont recours. La probabilité de se faire pirater de cette façon est donc moindre. NVIDIA à corrigé cette faille CVE-2019-5688 à partir de la version 5.588.0 du NVFlash que nous n'avons toutefois pas encore trouvé en ligne.

Mise à jour du 20/11/2019

NVIDIA a complété son bulletin de sécurité de novembre 2019 (4928) et annonce maintenant que l'outil GPUModeSwitch est également touché par la faille CVE-2019-5688 tout comme l'utilitaire NVFlash. Le GPUModeSwitch est un outil qui démarre temporairement le système sous Linux dans une interface en ligne de commande et permet de choisir entre le mode Graphics et le mode Compute ce qui permet d'utiliser les cartes graphiques Tesla soit pour de l'affichage traditionnel soit exclusivement pour des calculs.

Actualité publiée par Julien Sambourg le mercredi 13 novembre 2019 à 16:23
Commenter cette actualité
Marque associée : NVIDIA
Catégorie associée : Carte graphique
Flux RSS des actualités TousLesDrivers.com



Actualités relatives
Annonces

Fichiers relatifs
Annonces

Dossiers relatifs
AMD Fusion for Gaming
AMD propose un nouvel outil logiciel pour optimiser les performances des configurations composées d'un processeur de la marque et d'une carte graphique ATI Radeon. Il s'agit de la première pierre au projet Fusion qui est si cher à AMD. Nous allons voir dans ce dossier dans quelle mesure cet utilitaire permet d'améliorer ou non les performances du système.

Les drivers Detonators
Les drivers Detonators sont parmi les plus convoités sur le Web. Ce dossier vous aide à faire un peu le point.