Tramite la pagina Security Bulletin, Nvidia ha reso nota la pubblicazione di un aggiornamento di sicurezza per le proprie GPU. Tale update ha lo scopo di risolvere 25 vulnerabilità nel driver GPU e altre quatto nel software VGPU.
Si tratta di vulnerabilità con punteggi di gravità che vanno da 4,4 (lievi) a 8,8 (gravi), come da classificazione CVE. Di conseguenza, l'azienda consiglia ai propri utenti di scaricare e applicare quanto prima tale aggiornamento software, tramite la pagina di download, GeForce Experience o Nvidia Licensing Portal per il software vGPU e gli aggiornamenti di Nvidia Cloud Gaming.
In base alle varie descrizioni all'interno delle classificazioni CVE, le vulnerabilità, se sfruttate, potrebbero consentire di eseguire codice arbitrario ed effettuare l'escalation dei privilegi.
Le falle più gravi sono classificate come CVE-2022-34669 e CVE-2022-34671, rispettivamente con un punteggio di 8.8 e 8.5. La più grave delle due è una vulnerabilità nella modalità utente nel driver Windows per le GPU che può essere sfruttata in locale. Questa consente a un utente senza privilegi di modificare file cruciali per l'applicazione, con possibile esecuzione di codice, escalation di privilegi, acquisizione e divulgazione di informazioni, manomissione di dati e blocco dei servizi.
La vulnerabilità da 8.5, invece, è una falla a livello di modalità utente sfruttabile da remoto sempre nel driver Windows, che consente a utenti senza privilegi di effettuare operazioni di scrittura out-of-bounds, con le stesse potenziali conseguenze indicate per il precedente ID CVE.
Nvidia non ha ancora condiviso dati tecnici approfonditi sulle vulnerabilità, invitando l'utenza a provvedere il prima possibile all'aggiornamento dei propri software.
