Nvidia: Datenabfluss durch Sicherheitsleck in Grafiktreiber möglich
Nvidia hat Sicherheitslücken in seinen Grafikkartentreibern entdeckt. Angreifer können dadurch Informationen abgreifen. Updates stehen bereit.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Sicherheitslücken in Grafiktreibern von Nvidia gefährden die Sicherheit von PCs. Angreifer können durch Schwachstellen unbefugt Informationen auslesen oder verändern oder Systeme mit Denial-of-Service-Angriffen lahmlegen.
In einer Sicherheitsmitteilung listen Nvidias Entwickler mehrere Sicherheitslecks auf, die Angreifer missbrauchen können und für die nun Aktualisierungen bereitstehen, die sie schließen. Die schwerwiegende Sicherheitslücke in den Nvidia GPU Display-Treibern für Linux und Windows basiert auf einem Fehler, durch den Daten über das Ende hinaus oder vor den Anfang eines Puffers geschrieben werden. Dadurch können unbefugt Zugriffe auf Informationen erfolgen, sich Daten verändern oder das System mittels DoS zum Stillstand bringen (CVE-2024-0150, CVSS 7.1, Risiko "hoch").
Auch virtuelle GPUs verwundbar
Nvidia bietet zudem Treiber für virtuelle GPUs an, bei denen Nvidia-GPUs in Rechenzentren respektive Servern sitzen und von Workstations als virtuelle Grafikkarten für Berechnungen genutzt werden können. Im Virtual GPU Manager klafft eine Sicherheitslücke, bei denen bösartige Gäste Speicherverletzungen provozieren können. Dadurch können sie unter anderem Schadcode einschleusen und ausführen, das System lahmlegen oder Daten lesen und manipulieren (CVE-2024-0146, CVSS 7.8, hoch).
Videos by heise
Beide Treiber haben noch weitere, aber weniger riskant eingestufte Sicherheitslücken, die Nvidias Entwickler mit aktualisierten Software-Versionen stopfen. Die Windows-Treiberversionen 572.16, 553.62 und 539.19 sowie unter Linux die Versionen 570.86.16, 550.144.03 und 535.230.02 korrigieren die Fehler. Dies sind auch die korrigierten Versionsstände für die virtuellen Gast-Treiber der vGPU-Lösungen. Zudem muss die vGPU-Software auf Stand 17.5 respektive 16.9 gebracht werden, um die Schwachstellen darin auszubessern. Die Software steht auf der Download-Seite von Nvidia zum Herunterladen bereit.
SicherheitslĂĽcken betreffen Grafiktreiber ebenso wie andere Software. Etwa im vergangenen Oktober hatte Nvidia Schwachstellen in den Grafikkartentreibern ausgebessert, durch die Angreifer ihre Rechte im System ausweiten konnten.
Nvidia hat das Advisory am 30. Januar aktualisiert und die Treiberversionen 570.86.16 für Linux und 572.16 für Windows als fehlerkorrigierte Versionen ergänzt.
(dmk)
