Plusieurs vulnérabilités détectées sur les cartes graphiques Nvidia

Nvidia a publié un bulletin de sécurité sur des vulnérabilités affectant les cartes graphiques GeForce, Quadro et Tesla. Ces vulnérabilités peuvent varier en criticité, mais elles induisent des risques d’exécutions de codes arbitraires, de déni de services et d’élévation de privilèges. Elles sont présentes sur de nombreuses versions de pilotes fournies par Nvidia et dépendent du type de GPU utilisé.Cela inclut notamment la ligne R430 qui alimente les GPU GeForce.

Bien que Nvidia ait depuis publié de nouvelles versions corrigées de l’ensemble de ses pilotes GeForce et de nombreux pilotes Quadro, les correctifs de certains de ses pilotes Quadro et Tesla n’ont pas encore été publiés.Ces attaques ne peuvent pas être exécutées à distance et nécessitent un accès local à la machine. Ces vulnérabilités exposent donc actuellement les périphériques non corrigés à une attaque de type exécution de code local avec élévation de privilèges.

• CVE-2019-5683[Score CVSS v3 : 8.8] :

Le pilote de la carte graphique Nvidia contient une vulnérabilité dans le composant « Trace Logger » du driver qui tourne en « mode utilisateur ». Lorsqu'un attaquant a accès au système et établi un lien physique avec la machine, le driver ne vérifie pas les attaques par lien physique. Ce comportement peut permettre l'exécution de code, de faire du déni de service ou d’obtenir une escalade des privilèges.

• CVE-2019-5684[Score CVSS v3 : 7.8]

Le pilote de la carte Nvidia contient une vulnérabilité concernant le pilote DirectX, où une injection d’un certain type de texture peut déclencher un accès hors des zones de mémoire réservées au tableau des textures entrantes. Cet accès hors zone autorisé permet de réécrire dans la zone mémoire adjacente au tableau des textures entrantes, ce qui peut causer un déni de service ou une exécution de code.

• CVE-2019-5685[Score CVSS v3 : 7.8]

Le pilote de la carte Nvidia contient une vulnérabilité concernant le pilote DirectX, où une injection d’un certain type de texture peut déclencher un accès hors des zones de mémoire réservées au "shader" temporaire local. Cet accès hors zone autorisé permet de réécrire dans la zone mémoire adjacente au "shader" temporaire local, ce qui peut causer un déni de service ou une exécution de code.

• CVE-2019-5686[Score CVSS v3 : 5.6]

Une vulnérabilité à été identifiée dans les pilotes des cartes Nvidia au niveau noyau (nvlddmkm.sys). En effet, la fonction DxgkDdiEscape utilise des fonctions d’API ou des structures de données en se basant sur une propriété dont la valeur n’est pas constante.

Selon la valeur de la propriété, la fonction DxgkDdiEscape peut entraîner un déni de service.

• CVE-2019-5687[Score CVSS v3 : 5.2]

Une vulnérabilité a été identifié dans les pilotes de carte Nvidia au niveau noyau (nvlddmkm.sys). En effet, un défaut de contrôle des permissions a été identifié dans la fonction DxgkDdiEscape exposant des zones de mémoires à des utilisateurs non autorisés.

Cette vulnérabilité peut entraîner une fuite d’information technique ou un déni de service.