مراجعات تقنية

نفيديا تحذر : أخطاء أمنية شديدة في برنامج تشغيل {GPU} {VGPU }

نفيديا تحذر : أخطاء أمنية شديدة في برنامج تشغيل {GPU} {VGPU }

كشفت Nvidia عن مجموعة من الثغرات الأمنية في برنامج تشغيل وحدة معالجة الرسومات Nvidia (GPU) ، والتي قد تعرض اللاعبين وغيرهم لهجمات تصعيد الامتيازات وتنفيذ التعليمات البرمجية التعسفية ورفض الخدمة (DoS) وكشف المعلومات.

وفي الوقت نفسه ، يحتوي برنامج Nvidia Virtual GPU (vGPU) أيضًا على مجموعة من الأخطاء التي قد تؤدي إلى مجموعة من الهجمات المماثلة.

5 أخطاء أمنية في برنامج تشغيل كرت الشاشة GPU
يتم تتبع أخطر الأخطاء الخمسة في برنامج تشغيل كرت الشاشة GPU

كـ CVE-2021-1074 ، والذي يصنف 7.5 من 10 على مقياس الضعف CVSS ، مما يجعله شديد الخطورة. إنه موجود في ملف تنزيل برنامج تشغيل كرت الشاشة  ، ويسمح للمهاجم الذي لديه وصول إلى النظام المحلي باستبدال مورد التطبيق بملفات ضارة. قد يؤدي مثل هذا الهجوم إلى تنفيذ التعليمات البرمجية أو تصعيد الامتيازات أو رفض الخدمة أو الكشف عن المعلومات.

خطأ آخر شديد الخطورة ، CVE-2021-1075 ، معدل 7.3 على مقياس CVSS. NVIDIA Windows GPU Display Driver لنظام التشغيل Windows ، جميع الإصدارات ، تحتوي على ثغرة أمنية في معالج (وضع kernel)

(nvlddmkm.sys) لـ DxgkDdiEscape حيث يقوم البرنامج بإصدار مؤشر يحتوي على موقع للذاكرة لم يعد صالحًا ، مما قد يؤدي إلى رمز تنفيذ أو رفض الخدمة أو تصعيد الامتيازات.

عيبان متوسطان الخطورة ، CVE-2021-1076 و CVE-2021-1077 ، كلاهما معدل 6.6 على مقياس CVSS. يحتوي برنامج تشغيل عرض NVIDIA GPU السابق لنظامي التشغيل Windows و Linux ، وجميع الإصدارات ، على ثغرة أمنية في  وضع kernel (nvlddmkm.sys أو nvidia.ko) حيث قد يؤدي التحكم في الوصول غير الصحيح إلى رفض الخدمة أو الكشف عن المعلومات أو تلف البيانات. يحتوي برنامج تشغيل عرض NVIDIA GPU الأخير لنظامي التشغيل Windows و Linux و R450 و R460 على ثغرة أمنية حيث يستخدم البرنامج عددًا مرجعيًا لإدارة مورد تم تحديثه بشكل غير صحيح ، مما قد يؤدي إلى رفض الخدمة.

وأخيرًا ، تحتوي معدلات CVE-2021-1078 متوسطة الخطورة 5.5 على مقياس CVSS و NVIDIA Windows GPU Display Driver لنظام التشغيل Windows ، جميع الإصدارات ، على ثغرة أمنية في برنامج تشغيل kernel (nvlddmkm.sys) حيث قد يؤدي إشارة مرجعية مؤشر NULL إلى تعطل النظام.

8 نقاط ضعف في برنامج Nvidia vGPU
وفي الوقت نفسه ، يحتوي برنامج vGPU من Nvidia على ثمانية ثغرات أمنية مختلفة. تسمح وحدة معالجة الرسومات الافتراضية بتسريع الحوسبة المصمم خصيصًا لأحمال العمل الكثيفة لاستخدام الموارد مثل محطات العمل الافتراضية الغنية بالرسومات وعلوم البيانات والذكاء الاصطناعي.

  • الأخطاء الأربعة الأولى هي أخطاء التحقق من صحة الإدخال عالية الخطورة والتي يمكن أن تؤدي إلى الكشف عن المعلومات أو التلاعب بالبيانات أو قطع الخدمة.
هؤلاء هم:
  1. CVE ‑ 2021-1080 (7.8 على مقياس CVSS): ثغرة أمنية في vGPU Manager (المكون الإضافي vGPU) ، حيث لا يتم التحقق من بيانات إدخال معينة ؛
  2. CVE ‑ 2021-1081 (7.8): ثغرة أمنية في برنامج تشغيل وضع kernel الضيف ومدير vGPU (المكون الإضافي vGPU) ، حيث لا يتم التحقق من طول الإدخال ؛
  3. CVE ‑ 2021-1082 (7.8): ثغرة أمنية في مدير vGPU (المكون الإضافي vGPU) ، ناتجة عن عدم التحقق من صحة طول الإدخال ؛
  4. CVE ‑ 2021-1083 (7.8): ثغرة أمنية في برنامج تشغيل وضع kernel الضيف ومدير vGPU (المكون الإضافي vGPU) ، تنشأ أيضًا من عدم التحقق من طول الإدخال.
يمكن أن تؤدي الأربعة الأخرى إلى مجموعة متنوعة من النتائج إذا تم استغلالها:
  • CVE ‑ 2021-1084 (7.8): ثغرة أمنية في برنامج تشغيل وضع kernel المضيف ومدير vGPU (المكون الإضافي vGPU) ، حيث لا يتم التحقق من صحة طول الإدخال ، مما قد يؤدي إلى العبث بالبيانات أو DoS ؛

 

  • CVE ‑ 2021-1085 (7.3): قد تسمح إحدى الثغرات الأمنية في vGPU Manager (المكون الإضافي vGPU) للمهاجم بالكتابة إلى موقع ذاكرة مشتركة ومعالجة البيانات بعد التحقق من صحة البيانات ، مما قد يؤدي إلى رفض الخدمة و تصعيد الامتيازات
  • CVE ‑ 2021-1086 (7.1): تسمح الثغرة الأمنية في vGPU Manager (المكون الإضافي vGPU) للضيوف بالتحكم في الموارد غير المصرح بها ، مما قد يؤدي إلى فقدان النزاهة والسرية أو الكشف عن المعلومات ؛
  • CVE ‑ 2021-1087 (5.5): قد تسمح إحدى الثغرات الأمنية في مدير vGPU (المكون الإضافي vGPU) للمهاجم باسترداد المعلومات التي قد تؤدي إلى تجاوز عشوائي لتخطيط مساحة العنوان (ASLR) ، والذي بدوره قد يؤدي إلى فتح الباب أمام استغلال علة فساد الذاكرة.

أصدرت Nvidia تصحيحات للتخفيف من جميع الأخطاء ، والتي يمكن تنزيلها من خلال صفحة تنزيلات برنامج تشغيل Nvidia أو لتحديث برنامج vGPU ، من خلال بوابة ترخيص Nvidia. تتوفر جداول الإصدارات المتأثرة في إرشادات Nvidia ، التي تم إصدارها يوم الجمعة.

تواصل Nvidia معالجة الأخطاء الأمنية على أساس منتظم. في يناير ، أصدرت إصلاحات مرتبطة بـ 16 CVE عبر برامج تشغيل الرسومات وبرنامج vGPU ، في أول تحديث أمني لها لعام 2021. وبعد فترة وجيزة ، أصدرت تصحيحات لوحدات معالجة الرسومات (GPU)

اظهر المزيد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى