 Alors que généralement NVIDIA communique sur les vulnérabilités qui affectent ses drivers graphiques seulement après qu'un correctif ait été publié, cette fois-ci NVIDIA semble avoir été pris de court par un article publié par des chercheurs. Le fabricant confirme effectivement que les GPU GeForce, Quadro, RTX, Tesla ainsi que les SoC Tegra et Xavier sont touchés par plusieurs failles de sécurité qui n'ont pas encore été comblées.
Le bulletin de sécurité NVIDIA 5263 de novembre 2021 décrit pas moins de huit failles de sécurité qui présentent un risque allant de modéré à élevé (score CVSS de 4,1 ou 7,5). Ces failles peuvent aboutir à un déni de service, à la corruption des données voire à la divulgation d'informations. Le constructeur relativise toutefois la situation puisque l'assaillant doit posséder les droits administrateur du système d'exploitation pour exploiter ces vulnérabilités.
Les microarchitectures de GPU Maxwell (GeForce 900 Series), Pascal (GeForce 10 Series), Volta (TITAN V) et Turing (GeForce 16/20 Series) sont impactées par ces failles. En revanche, aucun problème pour l'ancienne génération Kepler (GeForce 600/700 Series) qui ne supporte pas les fonctionnalités touches par ces failles ni pour la dernière architecture Ampere (GeForce RTX 30 Series) qui n'est pas affectée non plus. Outre les cartes graphiques, les GPU Pascal, Volta et Turing se retrouvent également dans les serveurs DGX-1 et dans la plateforme NVIDIA DRIVE Constellation qui sont donc aussi concernés.
Du côté des SoC NVIDIA les modèles touchés sont les Tegra X1, Tegra X1+, Tegra TX2 et Xavier. On retrouve ces puces notamment dans les consoles de jeu SHIELD ou encore dans les kits de développement Jetson Nano/TX1/TX2/Xavier.
En l'absence de correctif pour le moment, NVIDIA recommande d'adopter les bonnes pratiques en matière de sécurité comme limiter les droits administrateur aux seuls utilisateurs de confiance. Il est probable que NVIDIA mettre en œuvre des solutions de contournement pour ces différentes failles dans les prochains drivers graphiques pour les GPU et dans de nouveaux firmwares pour les SoC.
Failles de sécurité détaillées dans le bulletin NVIDIA 5263
- CVE-2021-23201 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à générer du microcode valide. Cela peut aboutir à la divulgation d'informations, à la corruption de données ou à un déni de service.
- CVE-2021-23217 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à initier une écriture DMA spécifique pour corrompre du code. Cela peut aboutir à des problèmes de confidentialité, d'intégrité ou de disponibilité.
- CVE-2021-34400 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à accéder à des informations depuis la mémoire non nettoyée. Cela peut aboutir à la divulgation d'informations.
- CVE-2021-34399 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à accéder à des informations depuis des registres non nettoyés. Cela peut aboutir à la divulgation d'informations.
- CVE-2021-23219 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à accéder à des informations protégées. Cela peut aboutir à la divulgation d'informations.
- CVE-2021-1125 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à corrompre les données d'un programme.
- CVE-2021-1105 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à accéder à des registres de débogage durant l'exécution. Cela peut aboutir à la divulgation d'informations.
- CVE-2021-1088 : Vulnérabilité dans le microcontrôleur interne des GPU NVIDIA et des SoC Tegra ce qui peut autoriser un utilisateur détenant des privilèges élevés à utiliser des mécanismes de débogage dont le contrôle d'accès est insuffisant. Cela peut aboutir à la divulgation d'informations.
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
22/04/24 Redragon S101-KS Wireless Gaming Keyboard and Mouse Combo 1.0.0.1
22/04/24 Razer Hammerhead HyperSpeed for Playstation 1.3.0 R1
22/04/24 Pioneer BDR-XD05 1.22
22/04/24 Panasonic LUMIX DC-S5 II X 2.0
