Nvida: Treiber-Updates gegen Sicherheitslücken
Nvidias Grafikkartentreiber für Linux und Windows haben hochriskante Sicherheitslücken. Der Hersteller liefert jetzt Aktualisierungen zum Abdichten der Lecks.
(Bild: Shutterstock/chanpipat)
Aktualisierungen für die Grafikkartentreiber von Nvidia schließen hochriskante Sicherheitslücken. Angreifer können dadurch etwa Schadcode einschleusen und ausführen. Betroffen sind die Treiber für Linux und Windows sowie die vGPU-Verwaltungssoftware.
Hochriskante Lücken in Nvidia-Treibern
Die gravierendste Schwachstelle betrifft den Treiber für Windows. Er enthält eine Schwachstelle im Usermode-Bestandteil, durch die ein nicht privilegierter Benutzer einen Schreibzugriff außerhalb der vorgesehenen Speichergrenzen verursachen kann, was zur Ausführung von eingeschleustem Code, Offenlegung von Informationen und Denial-of-Service führen kann (CVE-2022-34671, CVSS 8.5, Risiko "hoch").
Sowohl unter Linux als auch Windows kann die Verarbeitung von unerwarteten und nicht vertrauenswürdigen Daten durch den GPU-Treiber zum Ausführen von untergejubelten Schadcode, Denial of Service, Rechteausweitung, Datenmanipulation oder unbefugten Zugriff auf Informationen führen (CVE-2023-25515, CVSS 7.8, hoch). Unter Linux können unprivilegierte Nutzer aufgrund eines Lecks im Kernelmode-Bestandteil des GPU-Treibers einen Interger-Überlauf provozieren und dadurch unbefugt auf Informationen zugreifen oder einen Denial-of-Service auslösen (CVE-2023-25516, CVSS 7.1, hoch).
Die Nvidia-vGPU-Software hingegen enthält eine Schwachstelle im Virtual GPU Manager (vGPU-Plug-in), durch die ein Gastbetriebssystem möglicherweise Ressourcen kontrollieren kann, für die es nicht autorisiert ist. Das kann zur Offenlegung von Informationen und zur Manipulation von Daten führen (CVE-2023-25517, CVSS 7.1, hoch).
Die Treiberversionen Geforce 536.23 sowie 474.44, Nvidia RTX, Quadro und NVS 536.25, 529.11 und 474.44 sowie Tesla 529.11, 474.44 und 454.23 für Windows dichten die Lücken ab. Unter Linux sind dafür die Fassungen Geforce 535.54.03, 525.125.06 sowie 470.199.02, Nvidia RTX, Quadro und NVS 535.54.03, 525.125.06 sowie 470.199.02 und für Tesla neben diesen Versionen noch 450.248.02 oder neuere nötig. Dieselben Versionen beheben die Lücken in Nvidias vGPU-Software, schreibt Nvidia in der Sicherheitsmeldung.
Die aktualisierten Installationspakete bietet Nvidia auf der Download-Seite an. Fehlerbereinigte vGPU-Software sei hingegen durch das Nvidia Lizenz-Portal erhältlich. Nutzer und Administratoren sollten die Aktualisierungen zügig herunterladen und installieren, um die Angriffsfläche für bösartige Akteure so klein wie möglich zu halten.
Im April hatte Nvidia in den GPU-Treibern und der vGPU-Software eine längere Liste an Sicherheitslücken geschlossen. Allein im Grafikkartentreiber hatte Nvidia dort 17 Sicherheitslecks gestopft.
(dmk)
