Vulnérabilités dans des produits NVIDIA
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans NVIDIA GPU Display Driver et NVIDIA vGPU Software. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, un déni de service, une exécution de code arbitraire ou une fuite d’informations.
NVIDIA GPU Display Driver
CVE‑2020‑5979 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le composant NVIDIA Control Panel dans NVIDIA GPU Display Driver. Le Control Panel peut présenter à un attaquant avec un accès local au système une boîte de dialogue possèdant des privilèges élevés pouvant être exploitée afin de provoquer une élévation de privilèges via des entrées.
CVE‑2020‑5980 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans plusieurs composants de NVIDIA GPU Display Driver. Elle peut permettre à un attaquant avec un accès local au système de provoquer une exécution de code arbitraire ou un déni de service.
CVE‑2020‑5981 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le pilote DirectX11 de NVIDIA GPU Display Driver. Elle peut permettre à un attaquant avec un accès local au système de provoquer une exécution de code arbitraire ou un déni de service.
NVIDIA vGPU Software
CVE‑2020‑5983 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte de type “écriture hors-limites” dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service ou une fuite d’informations.
CVE‑2020‑5984 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte de type “use-after-free” dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service, une exécution de code arbitraire ou une fuite d’informations.
CVE‑2020‑5985 [Score CVSS v3 : 7.8] : Une vulnérabilité due à une validation incorrecte de la longueur d’entrées a été découverte dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service.
CVE‑2020‑5986 [Score CVSS v3 : 7.8] : Une vulnérabilité due à une validation incorrecte de la taille d’entrées a été découverte dans le plugin vGPU de NVIDIA vGPU Manager. Elle peut permettre à un attaquant avec un accès local au système de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Exécution de code arbitraire
- Déni de service
- Fuite d’informations
Criticité
- Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
- Une liste complète des composants et versions vulnérables est disponible ici
CVE
- CVE‑2020‑5980
- CVE‑2020‑5979
- CVE‑2020‑5981
- CVE‑2020‑5982
- CVE‑2020‑5983
- CVE‑2020‑5984
- CVE‑2020‑5985
- CVE‑2020‑5986
- CVE‑2020‑5987
- CVE‑2020‑5988
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour vers des versions non vulnérables
Solution de contournement
Aucune solution de contournement