 NVIDIA révèle une nouvelle fois la présence de nombreuses failles de sécurité dans ses drivers graphiques GeForce mais pas seulement puisque les cartes professionnelles NVS, Quadro et Tesla sont également concernées. Même chose pour l'application GeForce Experience. Ce sont en fait six vulnérabilités qui viennent d'être dévoilées par NVIDIA et qui affectent tous les systèmes d'exploitation Windows, les systèmes Linux et Unix étant épargnés cette fois-ci.
CVE-2016-4959 pour les PC portables Optimus
La première de ces failles est référencée CVE-2016-4959 et ne touche que les ordinateurs portables compatibles avec la technologie hybride Optimus et fonctionnant sous Windows 7, Windows 8 ou Windows 8.1. Il s'agit d'une faille qualifiée de critique avec un score CVSS de base supérieur à 7. Son exploit consiste à attaquer le service d'accès à distance Remote Desktop Protocol (RDP) pour provoquer un déni de service (DoS) et le plantage complet du système (écran bleu de la mort). Cela concerne tous les PC portables à base de GPU GeForce, NVS ou Quadro. Le système Windows 10 ne semble pas rencontrer ce problème ni les PC dont un seul contrôleur graphique est activé.
CVE-2016-5025 pour l'ensemble des GPU NVIDIA et toutes les éditions de Windows
De son côté, la faille CVE-2016-5025 est un peu moins critique (score CVSS 5.7) mais touche, elle, l'intégralité des configurations équipées d'un GPU NVIDIA GeForce, NVS ou Quadro que ce soient les PC fixes, portables et stations de travail ainsi que toutes les éditions de Windows. Il s'agit là encore d'une vulnérabilité de type DoS qui est présente dans le composant NVAPI du pilote graphique et qui peut provoquer un BSOD.
Quatre failles dans le GeForce Experience
Le plus gros des failles est en réalité présent non pas dans le pilote graphique lui-même mais dans l'application additionnelle GeForce Experience. Toutefois, celle-ci étant installée par défaut avec les drivers graphiques GeForce, il ne faut donc pas se croire prémuni même si on ne l'utilise pas.
Les vulnérabilités CVE-2016-3161 et CVE-2016-5852 touchent le service de streaming GameStream ainsi que le plugin NVTray. Il s'agit d'une faille vraiment courante et basique sur les systèmes Windows qui consiste à usurper l'exécutable d'un service dont le chemin d'accès n'a pas été protégé par des guillemets doubles par le développeur... Ces failles présentent pour autant un risque assez important avec un score CVSS de 6.8.
Citons encore la vulnérabilité CVE-2016-4960 qui est présente dans le service NVStreamKMS.sys du GFE et qui permet, elle, une élévation de privilèges. La faille CVE-2016-4961 est également présente dans ce même composant NVStreamKMS.sys pour la gestion du streaming et permet de faire planter Windows par déni de service.
Les correctifs déjà déployés
Si ces différentes vulnérabilités n'ont été rendues publiques qu'en date du 19 août 2016, NVIDIA les a en réalité déjà corrigées depuis la version 368.69 des drivers GeForce qui est sortie début juillet ainsi que depuis les drivers 368.39 pour les cartes professionnelles NVS et Quadro. Ces drivers corrigés de la branche R367 ne concernent bien sûr que les familles de GPU Fermi, Kepler, Maxwell et Pascal et les correctifs ont évidemment été repris dans la branche R370 dont fait partie le dernier pilote 372.54.
En ce qui concerne les anciennes générations de produits basés sur la microarchitecture Tesla et qualifiés de legacy (GeForce 300 et inférieurs), sachez que NVIDIA vient de mettre en ligne de nouveaux drivers 341.96 basés sur la branche R340 afin d'y inclure ces mêmes corrections. Comme quoi le support continu d'être assuré quasiment dix ans après la sortie de certaines puces (série GeForce 8 par exemple).
Bonne nouvelle également pour le système Windows XP dont le support vient d'être abandonné en août par NVIDIA mais qui aura bénéficié juste à temps de ces corrections dans ses derniers drivers 368.81 ! Seul Windows Vista est exclu des mises à jour sur les GPU récents et reste donc vulnérable dans ce cas de figure...
Les cartes Tesla (à ne pas confondre avec la microarchitecture du même nom) voient, elles, leurs drivers passer en version 354.99 (branche R352).
A noter que si la mise à jour des drivers n'est pas possible pour une raison ou une autre, la désactivation du port TCP/UDP 3389 dans le pare-feu de Windows permet à minima de se protéger de la faille critique qui touche le service RDP des PC Optimus.
Voici les liens vers les dernières versions des différentes branches des drivers graphiques NVIDIA.
Drivers NVIDIA GeForce 372.54 WHQL pour GeForce 400/500/600/700/800/900/10 desktop et notebook
Drivers NVIDIA GeForce 341.96 WHQL pour GeForce 8/9/100/200/300/ION desktop et notebook
Drivers NVIDIA Quadro 369.09 WHQL pour GRID/NVS/Quadro desktop et notebook
Drivers NVIDIA Quadro 368.86 WHQL pour GRID/NVS/Quadro desktop et notebook
Drivers NVIDIA Quadro 341.96 WHQL pour NVS/Quadro CX/FX/NVS desktop et notebook
Drivers NVIDIA Tesla 354.99 WHQL pour Tesla C/K/M/X
|
Modérateur TLD
|
|
Actualités
25/04/24 Crucial publie l'ISO du firmware M3CR046 pour certains SSD Crucial MX500
25/04/24 Intel Arc Graphics 101.5445 WHQL
25/04/24 Fujifilm X100VI 1.10
24/04/24 Thermalright Core Vision/Frozen Warframe 1.2.4
24/04/24 Crucial MX500 CD/USB M3CR04x M3CR046
24/04/24 Pioneer DJ DJM-A9 1.04
