Chipmaker Nvidia vydal tři opravy pro svůj grafický ovladač pro zranitelnosti s vysokou závažností.

CVE-2019-5675

Ovladač obsahuje chybu zabezpečení ve vrstvě režimu jádra (nvlddmkm.sys) pro DxgkDdiEscape, kde produkt správně nesynchronizuje sdílená data, například statické proměnné napříč vlákny, což může vést k nedefinovanému chování a nepředvídatelným změnám dat, které mohou vést k odmítnutí služby, eskalaci privilegií nebo zpřístupnění informací.

Vada má skóre CVSS 7,7, což z ní činí vysoce závažnou chybu.

CVE ‑ 2019‑5676

Existuje v instalačním softwaru ovladače a je také hodnocena jako vysoce závažná. Software nesprávně načte knihovny dynamického propojení systému Windows (DLL) bez ověření jejich cesty nebo podpisu.

To by mohlo umožnit útok DLL, kde útočník získá kontrolu nad adresářem na vyhledávací cestě DLL a vloží do tohoto adresáře nebezpečnou kopii knihovny DLL – což povede k eskalaci oprávnění prostřednictvím spuštění kódu.

CVE ‑ 2019‑5677

Tato chyba se také vyskytuje v obslužném programu jádra (nvlddmkm.sys) ovladače pro rozhraní DeviceIoControl a mohla by vést k DoS.

Nvidia vybízí uživatele, aby aktualizovali svůj ovladač pro různé softwarové produkty spuštěné ve Windows. Záplaty jsou v současné době k dispozici pro různé verze GeForce a Tesla.

Zdroj: threatpost.com