NVIDIA Security Bulletin

CVE - 2019-5677 Tesla Windows Все версии R418 до 425.25. В дополнение к обновленным версиям, перечисленным выше, версии драйверов Windows 430.23, 425.25 и 422. 02, также включает обновление безопасности.

  1. Компания NVIDIA призывает обновить версию драйвера до последней, найдены критические уязвимости, которые могут привести к удаленному выполнению кода. 13 мая на сайте NVIDIA было опубликовано сообщение "Security Bulletin: NVIDIA GPU Display Driver - May 2019" в котором говориться об обновлении версии драйверов. Грубо говоря, если у вас стоит версия драйвера до 430.23 то вам следует обновить до последней версии. Если у Вас стоит железо которое не поддерживает новейшие версии драйверов, обновитесь до самой последней версии, возможной для вашего устройства. Вот что говорится на сайте, читаем ниже:
  2. Если вы используете не поддерживаемую версию или более раннюю не поддерживаемую ветку, обновите ее до последней поддерживаемой версии. Чтобы определить продукты, которые больше не поддерживаются, проверьте страницы EOL продуктов старых версий Windows GPU и старых версий Unix GPU, или обратитесь в службу поддержки NVIDIA.
  3. подробности:

  4. В этом разделе приведены сведения о потенциальном воздействии, которое устраняет данное обновление для системы безопасности. Описания используют CWE, а базовые оценки и векторы используют стандарты CVSS V3.
  5. CVE Description Base Score Vector
    CVE-2019-5675 Драйвер дисплея NVIDIA для Windows GPU содержит уязвимость в обработчике уровня режима ядра (nvlddmkm.sys) для DxgkDdiEscape, когда продукт неправильно синхронизирует общие данные, такие как статические переменные в потоках, что может привести к неопределенному поведению и непредсказуемым изменениям данных, которые может привести к отказу в обслуживании, повышение привилегий или раскрытие информации. 7.7 AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:H
    CVE-2019-5676 Программа установки драйвера дисплея NVIDIA для Windows GPU содержит уязвимость, из-за которой она неправильно загружает системные DLL-библиотеки Windows без проверки пути или сигнатуры (также называемой атакой двоичной установки или предварительной загрузки DLL), что приводит к повышению привилегий посредством выполнения кода. 7.2 AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
    CVE-2019-5677 Драйвер дисплея NVIDIA для Windows GPU содержит уязвимость в обработчике уровня режима ядра (nvlddmkm.sys) для DeviceIoControl, где программа считывает данные из буфера, используя механизмы доступа к буферу, такие как индексы или указатели, которые ссылаются на места в памяти после целевого буфера, что может привести к отказ в обслуживании. 5.6 AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H
  6. Оценка рисков NVIDIA основана на среднем значении риска для различных установленных систем и может не отражать истинный риск вашей локальной установки. NVIDIA рекомендует проконсультироваться с специалистом по безопасности или ИТ-специалистом, чтобы оценить риск для вашей конкретной конфигурации.
  7. Security Updates

  8. В следующей таблице перечислены затронутые программные продукты NVIDIA, затронутые версии и обновленные версии, включающие это обновление для системы безопасности. Загрузите обновления со страницы загрузки драйверов NVIDIA.
  9. CVE Software Product Operating System Affected Versions Updated Version
    CVE-2019-5675
    CVE-2019-5676
    CVE-2019-5677
    GeForce Windows All R430 versions prior to 430.64 430.64
    CVE-2019-5675
    CVE-2019-5676
    CVE-2019-5677
    Quadro, NVS Windows All R430 versions prior to 430.64 430.64
    All R418 versions prior to 425.51 425.51
    All R400 versions Available the week of May 13
    CVE-2019-5666
    CVE-2019-5675
    CVE-2019-5677
    Quadro, NVS Windows All R390 versions Available the week of May 20
    CVE-2019-5675
    CVE-2019-5676
    CVE‑2019‑5677
    Tesla Windows All R418 versions prior to 425.25 425.25
    All R400 versions Available the week of May 13

    Заметки:

  10. Помимо обновленных версий, перечисленных выше, версии 430.23, 425.25 и 422.02 драйверов Windows, предоставляемые поставщиками компьютерного оборудования, также включают обновление безопасности.
  11. Если вы используете не поддерживаемую версию или более раннюю не поддерживаемую ветку, обновите ее до последней поддерживаемой версии. Чтобы определить продукты, которые больше не поддерживаются, проверьте страницы EOL продуктов предыдущих версий Windows GPU и предыдущих версий Unix GPU или обратитесь в службу поддержки NVIDIA.
  12. Приведенная выше таблица не может быть исчерпывающим списком всех затронутых версий или веток и может обновляться по мере поступления дополнительной информации.
  13. Версии драйвера R390 включают обновления для CVE-2019-5666, ранее раскрытые в бюллетене по безопасности: Драйвер дисплея NVIDIA GPU - февраль 2019 года.
  14. CVE-2019-5676 - Если драйвер графического процессора установлен в Windows 7, Microsoft KB2533623 должен быть установлен как предварительное условие для обращения к этому CVE. Этот CVE не влияет на пакеты драйверов, предоставляемые поставщиком оборудования, и применяется только к пакетам драйверов, которые загружаются с общедоступной веб-страницы загрузки драйверов NVIDIA.
  15. О последнем драйвере мы рассказывали на нашем блоге, на странице "Обзор драйвера NVIDIA GeForce Game Ready 430.64 WHQL", если вам нужна последняя версия драйвера, вы можете скачать с официального сайта, перейдя на страницу нашего блога.

  16. Ссылки на материалы упоминающиеся в статье:

    Перейти официальная страница безопасности продуктов NVIDIA.
    Перейти Security Bulletin: NVIDIA GPU Display Driver - May 2019