信息来源：51CTO

上周，科技巨头Nvidia发布了Nvidia GPU Display Driver中的多个安全漏洞的安全更新。这10个安全漏洞的CVSS 评分在5.5到7.8之间，影响的设备包括Windows和Linux机器。

漏洞分析

其中影响NVIDIA GPU显卡驱动的安全漏洞分别是：

CVE‑2020‑5962

CVE‑2020‑5962漏洞位于驱动的Nvidia Control Panel组件中，本地攻击者利用该漏洞可以破坏系统文件，引发DoS攻击或权限提升。

CVE‑2020‑5963

CVE‑2020‑5963 漏洞位于CUDA 驱动的 Inter Process Communication(进程间通信)API中，漏洞属于不当的访问安全漏洞，攻击者利用该漏洞可以进行代码执行、发起DoS攻击和信息泄露。

CVE‑2020‑5964

CVE‑2020‑5964漏洞是显卡驱动的服务主机组件中的错误，攻击者利用该漏洞可以绕过资源完整性检查，引发代码执行、服务拒绝、信息泄露攻击等。

CVE‑2020‑5965

CVE‑2020‑5965漏洞位于显卡的DirectX 11用户模式驱动中。攻击者利用精心伪造的着色器shader可以引发越界写、DoS等。目前该漏洞已被修复。

CVE‑2020‑5966

CVE‑2020‑5966是基于Windows的GPU显卡驱动的kernel模式层的漏洞，攻击者将空指针的间接引用武器化后可以进行权限提升或DoS 攻击。

CVE‑2020‑5967

CVE‑2020‑5967是驱动的UVM 服务的Linux版本中的安全漏洞，攻击者利用漏洞中的竞争条件错误可以引发DoS拒绝服务攻击。

其中边界限制错误、资源验证问题、缓存错误可以被滥用来进行代码执行、服务修改、权限提升和DoS攻击。

其中影响NVIDIA 虚拟GPU管理器中的vGPU插件的安全漏洞有：

CVE‑2020‑5968

CVE‑2020‑5968漏洞CVSS评分为7.8，其中软件没有对使用索引或指针访问的资源边界进行限制。攻击者利用该漏洞可以实现代码执行、DoS、权限提升或信息泄露。

CVE‑2020‑5969

CVE‑2020‑5969漏洞CVSS评分为7.8。由于在使用前没有验证共享的资源，导致竞争条件可能会引发DoS或信息泄露。

CVE‑2020‑5970

CVE‑2020‑5970漏洞CVSS评分为7.8。由于没有对输入数据大小进行验证，可能会导致DoS。

CVE‑2020‑5971

CVE‑2020‑5971漏洞CVSS评分为7.8。软件在使用缓存访问机制从缓存中读取数据可能会导致代码执行、DoS、权限提升、信息泄露等。

CVE‑2020‑5972

CVE‑2020‑5972漏洞CVSS评分为5.5分。由于本地指针变量没有初始化，而且之后可能会释放，引发DoS。

CVE‑2020‑5973

CVE‑2020‑5973漏洞CVSS评分为4.4分.攻击者利用该漏洞可以执行权限提升操作，并可能引发DoS。

漏洞影响和修复

漏洞影响Windows和 Linux vGPU客户驱动软件，包括Citrix Hypervisor、VMware vSphere、Red Hat Enterprise Linux with KVM和Nutanix AHV。

其中影响Windows机器的漏洞有：

其中影响Linux机器的漏洞有：

CVE‑2020‑5968, CVE‑2020‑5969, CVE‑2020‑5970, CVE‑2020‑5971, CVE‑2020‑5972, CVE‑2020‑5973漏洞目前已经发布了安全补丁。最新版本的vGPU 也将于7月6日发布。