Критична вразливість у драйверах NVIDIA дозволяє красти файли віддалено

Компанія NVIDIA випустила термінове оновлення безпеки, щоб усунути критичні вразливості в GPU Display Driver та Virtual GPU (vGPU) Software. Серед них – CVE‑2024‑0149, яка дозволяє зловмисникам отримати несанкціонований доступ до файлів на Linux-системах. 

Уразливості в драйверах NVIDIA можуть призвести до витоку інформації, відмови в обслуговуванні (DoS), пошкодження даних або виконання шкідливого коду. Найбільш небезпечні з них:

• CVE‑2024‑0150 – переповнення буфера, що може спричинити крадіжку даних або DoS-атаку (CVSS: 7.1).
• CVE‑2024‑0146 – пошкодження пам’яті у Virtual GPU Manager, що дозволяє виконувати шкідливий код (CVSS: 7.8).
• CVE‑2024‑53881 – уразливість, яка дозволяє гостьовій ОС створювати «шторм переривань» на хост-системі, викликаючи збій (CVSS: 5.5).

Оновлення драйверів випущені для користувачів Windows та Linux, зокрема для GeForce, NVIDIA RTX, Quadro, NVS, Tesla GPUs.

Загроза була виявлена дослідниками Xiaochen Zou та Wolfgang Frisch, після чого NVIDIA підтвердила її наявність. Аналіз показав, що уразливості могли використовуватися хакерами для цільових атак на корпоративні та приватні системи.  Компанія закликає негайно оновити драйвери, щоб уникнути можливого використання цих експлойтів. Оновлення доступні через NVIDIA Driver Downloads або Licensing Portal для vGPU.

Безпека користувачів NVIDIA може бути під загрозою через серію серйозних вразливостей у драйверах. Оновлення вже доступні, і компанія рекомендує всім користувачам негайно встановити нові версії драйверів, щоб захиститися від потенційних атак.