Vulnérabilités dans des produits NVIDIA

Date de publication :

Plusieurs vulnérabilités ont été découvertes dans NVIDIA GPU Display Driver et NVIDIA vGPU Software. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, un déni de service, une exécution de code arbitraire ou une fuite d’informations.

NVIDIA GPU Display Driver 

CVE‑2020‑5979 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le composant NVIDIA Control Panel dans NVIDIA GPU Display Driver. Le Control Panel peut présenter à un attaquant avec un accès local au système une boîte de dialogue possèdant des privilèges élevés pouvant être exploitée afin de provoquer une élévation de privilèges via des entrées.

CVE‑2020‑5980 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans plusieurs composants de NVIDIA GPU Display Driver. Elle peut permettre à un attaquant avec un accès local au système de provoquer une exécution de code arbitraire ou un déni de service.

CVE‑2020‑5981 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le pilote DirectX11 de NVIDIA GPU Display Driver. Elle peut permettre à un attaquant avec un accès local au système de provoquer une exécution de code arbitraire ou un déni de service.

NVIDIA vGPU Software

CVE‑2020‑5983 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte de type “écriture hors-limites” dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service ou une fuite d’informations.

CVE‑2020‑5984 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte de type “use-after-free” dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service, une exécution de code arbitraire ou une fuite d’informations.

CVE‑2020‑5985 [Score CVSS v3 : 7.8] : Une vulnérabilité due à une validation incorrecte de la longueur d’entrées a été découverte dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service.

CVE‑2020‑5986 [Score CVSS v3 : 7.8] : Une vulnérabilité due à une validation incorrecte de la taille d’entrées a été découverte dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Elévation de privilèges

    Exécution de code arbitraire

    Déni de service

    Fuite d’informations

Criticité

    Score CVSS v3 : 8.8 max

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

    Une liste complète des composants et versions vulnérables est disponible ici

CVE

    CVE‑2020‑5980

    CVE‑2020‑5979

    CVE‑2020‑5981

    CVE‑2020‑5982

    CVE‑2020‑5983

    CVE‑2020‑5984

    CVE‑2020‑5985

    CVE‑2020‑5986

    CVE‑2020‑5987

    CVE‑2020‑5988

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement

Liens