发布时间:2020-03-06 12:44:16,来源:恒安嘉新
一、基本情况
2020年3月,监测发现NVIDIA存在拒绝服务漏洞(CVE‑2020‑5957、CVE‑2020‑5958)。攻击者利用该漏洞,可能导致拒绝服务、特权升级或信息泄露。目前,漏洞相关细节未公开。
二、攻击原理
NVIDIA是一家人工智能计算公司。NVIDIA已经开发出了五大产品系列,以满足特定细分市场需求,包括:GeForce、Tegra、ION、Quadro及Tesla。公司不断为视觉计算树立全新标准,其令人叹为观止的交互式图形产品可广泛用于从平板电脑和便携式媒体播放器到笔记本与工作站等各种设备之上。
由于NVIDIA GPU的Windows显示驱动程序包含在NVIDIA控制面板部件,攻击者可以通过访问本地系统,从而造成系统文件损坏。同时NVIDIA Virtual GPU Manager在vGPU插件中包含一个漏洞,其中输入索引值的验证不正确。攻击者利用上述漏洞,获得目标服务器的权限,实现拒绝服务攻击。
三、影响范围
影响产品如下表所示:
影响产品 | 操作系统 | 受影响版本 |
Geforce | Windows | ALL R440 versions prior to 442.50 |
Quadro,NVS | Windows | ALL R440 versions prior to 442.50 |
| ALL R430 versions prior to 432.28 | ||
| ALL R418 versions prior to 426.50 | ||
| ALL R390 versions prior 392.59 | ||
Tesla | Windows | ALL R440 versions |
| ALL R418 versions prior to 426.50 |
四、处置建议
NVIDIA官方将于2020年3月9日和4月初发布补丁以修复此漏洞,建议用户跟随最新的NVIDIA驱动程序升级至最新版本:
https://www.nvidia.cn/Download/index.aspx?lang=cn