Nvidia schließt Sicherheitslücken in Treibern und Verwaltungssoftware

Nvidia hat aktualisierte Software zur Schließung von Sicherheitslücken veröffentlicht, von denen einige nach Einschätzung des Unternehmens ein hohes Risiko darstellen. Betroffen sind die Grafikkartentreiber, aber auch die GPU-Manager-Software für den Server-Einsatz. Angreifer könnten etwa Schadcode ausführen oder ihre Rechte im System ausweiten. Administratorinnen und Administratoren sollten die bereitstehenden Aktualisierungen zügig anwenden.

Nvidia-Grafikkartentreiber: Zahlreiche Sicherheitslücken

Allein im Grafikkartentreiber hat Nvidia 17 Sicherheitslecks gestopft. Davon zählen sieben als hochriskant, acht als mittleres Risiko und zwei als niedriger Bedrohungsgrad. Eine weitere Lücke mittleren Schweregrads findet sich in der vGPU-Software. Nicht jede Lücke betrifft aber jeden Treiber-Zweig für die unterschiedlichen GPUs. In der Sicherheitsmeldung listet Nvidia daher auf, für welche Grafikkarte welche Treiberversion jetzt aktuell ist.

Durch die schwerwiegendste Lücke im Linux-Treiber könnten Angreifer eingeschleusten Code ausführen, ihre Rechte ausweiten, unbefugt auf Informationen zugreifen, Daten manipulieren oder einen Denial-of-Service starten (CVE-2023-0189, CVSS 8.8, Risiko "hoch"). Im Windows-Treiber erlaubt die ebenso eingestufte schlimmste Schwachstelle Angreifern noch, die Rechte zu erweitern, auf Informationen zuzugreifen, Daten zu verändern sowie ebenfalls einen Denial-of-Service (CVE‑2023‑0184, CVSS 8.8, hoch). Beide Lücken schrammen nur knapp an der Bewertung "kritisch" vorbei.

In Nvidias Data Center GPU Manager (DCGM) zur Verwaltung von GPUs in Cluster-Umgebungen könnten Angreifer einen Heap-basierten Pufferüberlauf provozieren und so Daten manipulieren oder einen Denial-of-Service auslösen (CVE‑2023‑0208, CVSS 8.4, hoch). Dafür sind Software-Versionen vor 3.1.7 anfällig, schreiben Nvidias Entwickler in einer Sicherheitsmeldung.

Fehlerbereinigte Software

Unter Windows sind demnach die Treiber-Versionen 531.41, 528.89, 518.03, 474.30 sowie 454.14 aktuell und von den Lücken befreit. Für Linux stehen die fehlerbereinigten Versionen 530.41.03, 525.105.17, 515.105.01, 470.182.03 sowie 450.236.01 auf der Treiber-Download-Seite von Nvidia bereit. Die aktualisierte DCGM-Software in Fassung 3.1.7 oder neuer erhalten IT-Verantwortliche auf einer anderen Nvidia-Webseite.

Da die Sicherheitslücken teils eine Einstufung als kritisch nur knapp verpassen, sollten Nutzer ihre Software zügig auf den aktuellen Stand bringen.

Zum Dezember vergangenen Jahres hatte Nvidia ebenfalls Sicherheitslücken in den GPU-Treibern geschlossen. Auch sie ermöglichten Angreifern, etwa Schadcode auszuführen.

(dmk)