La reciente actualización de seguridad de NVIDIA aborda múltiples vulnerabilidades en sus controladores de pantalla de GPU y el software vGPU, que podrían tener impactos significativos en la seguridad de los sistemas afectados. Esta sección resume las vulnerabilidades abordadas, utilizando identificadores de vulnerabilidad de seguridad como CVE (Common Vulnerabilities and Exposures) y puntuaciones de gravedad basadas en CVSS (Common Vulnerability Scoring System).
Controlador de Pantalla de GPU NVIDIA
En el controlador de pantalla NVIDIA para Windows y Linux, se identificaron diversas vulnerabilidades:
-
CVE-2024-0150: Esta vulnerabilidad se relaciona con una escritura de datos fuera de los límites de un búfer, lo que podría llevar a la divulgación de información, denegación de servicio o manipulación de datos, con una puntuación CVSS de 7.1 (Alto). La vulnerabilidad se clasifica como CWE-787.
-
CVE-2024-0147: Al referirse a la memoria liberada, puede provocar denegación de servicio o manipulación de datos, con una puntuación de 5.5 (Medio) y clasificada como CWE-416.
-
CVE-2024-53869: Un atacante podría acceder a memoria no inicializada, lo que podría resultar en la divulgación de información (puntuación 5.5, Medio; CWE-459).
-
CVE-2024-0131: Vulnerabilidad en el controlador del kernel que permite la lectura de un búfer de longitud incorrecta, lo que también podría llevar a una denegación de servicio. Tiene una puntuación de 4.4 (Medio, CWE-805).
- CVE-2024-0149: Esta vulnerabilidad permite el acceso no autorizado a archivos en el controlador de pantalla GPU de Linux, con una puntuación de 3.3 (Bajo, CWE-125).
Software NVIDIA vGPU
El software NVIDIA vGPU no está exento de vulnerabilidades:
-
CVE-2024-0146: En Virtual GPU Manager, un atacante podría causar daños en la memoria, lo que puede resultar en ejecución de código, denegación de servicio, divulgación de información o manipulación de datos, con una puntuación de 7.8 (Alto, CWE-120).
- CVE-2024-53881: Una vulnerabilidad en el controlador del host que podría permitir que un invitado cause una tormenta de interrupciones, provocando una denegación de servicio (puntuación 5.5, Medio, CWE-459).
Actualizaciones de Seguridad
NVIDIA ha desarrollado actualizaciones para mitigar estos riesgos. Las versiones de controlador afectadas incluyen:
-
Para Windows:
- Controladores R535, R550, R560, R565 y R570 abordan CVE-2024-0131, CVE-2024-0147 y CVE-2024-0150.
- Para Linux:
- Controladores R550 y R570 abordan un número más amplio de vulnerabilidades, incluyendo varias de las mencionadas anteriormente.
Es crucial que los usuarios de NVIDIA actualicen a las versiones corregidas disponibles en su sitio web para garantizar la protección contra estas vulnerabilidades.
Notas Importantes
NVIDIA advierte que la evaluación de riesgos se basa en promedios, pudiendo no reflejar el riesgo real en instalaciones particulares. Se recomienda consultar con un profesional de seguridad para una evaluación más precisa.
Las actualizaciones de seguridad incluyen desarrollo constante, y previstas mediante agradecimientos a los investigadores que reportaron vulnerabilidades. Además, se aconseja a los usuarios suscribirse para recibir notificaciones de boletines de seguridad, asegurando así que estén informados sobre nuevas amenazas y soluciones.
Finalmente, NVIDIA proporciona un portal de seguridad para reportar vulnerabilidades y acceder a la documentación más reciente. Este compromiso subraya la importancia de la seguridad en el software y los controladores que utilizan productos NVIDIA en entornos críticos.