NVIDIA выпустила экстренные патчи для устранения критических уязвимостей в GPU-драйверах

Компания NVIDIA опубликовала обновления безопасности, устраняющие восемь уязвимостей в драйверах GPU и программном обеспечении виртуализации GPU, которые затрагивают системы на Windows и Linux. Обновление, выпущенное 16 января, направлено на устранение проблем, которые могли бы позволить злоумышленникам с локальным доступом выполнять вредоносный код, похищать данные или вызывать сбои в системе.

Среди уязвимостей выделяются две наиболее опасные. Первая — CVE-2024-0150 — связана с переполнением буфера в драйвере дисплея, что может привести к компрометации системы через подмену данных и раскрытие информации. Вторая — CVE-2024-0146 — касается виртуального GPU Manager, где скомпрометированная гостевая система может вызвать повреждение памяти, что потенциально ведёт к выполнению кода и захвату управления системой.

Для пользователей Windows рекомендуется обновить драйверы до версии 553.62 (R550) или 539.19 (R535). Для Linux необходимо установить версии 550.144.03 или 535.230.02, в зависимости от ветки драйвера.

Обновления распространяются на продукты NVIDIA серий RTX, Quadro, NVS и Tesla. Особую опасность эти уязвимости представляют для корпоративных систем, использующих виртуализацию GPU. Одна из проблем — CVE-2024-53881 — позволяет гостевым системам инициировать прерывания, приводящие к сбоям на хост-машинах и потенциальным простоям всей системы. Для устранения этих уязвимостей пользователям виртуальных GPU необходимо обновить программное обеспечение до версии 17.5 (550.144.02) или 16.9 (535.230.02).

Хотя эти уязвимости требуют локального доступа для эксплуатации, в виртуализированных средах, где несколько пользователей разделяют ресурсы GPU, риски значительно возрастают. NVIDIA настоятельно рекомендует немедленно установить обновления на всех затронутых системах. Драйверы можно загрузить с страницы загрузок NVIDIA, а патчи для корпоративных продуктов — через портал лицензирования NVIDIA.