La empresa de hardware ha publicado un
boletín donde describe ocho vulnerabilidades presentes en sus productos.
Algunas de ellas permiten la denegación de servicio o la escalada de
privilegios.
Tres de las vulnerabilidades
(CVE-2017-6269, CVE-2017-6268 y CVE-2017-6277) se encuentran en la capa de modo
kernel para 'DxgkDdiEscape', situada en el fichero 'nvlddmkm.sys', y están
relacionadas con el paso de valores al controlador sin validación previa. Esto
podría ser aprovechado para realizar una denegación de servicio o una elevación
de privilegios, y por ello son calificadas con severidad alta.
Existe una cuarta vulnerabilidad
(CVE-2017-6272) con la misma severidad, causa e impacto, aunque no relacionada
con 'DxgkDdiEscape'.
Las cuatro vulnerabilidades restantes
son de severidad media. Dos de ellas, con identificadores CVE-2017-6270 y
CVE-2017-6271, se encuentran en la capa de modo kernel para
'DxgkDdiCreateAllocation'. Al no validarse los datos introducidos para una
división, se puede provocar una división entre cero y denegación de servicio.
Las dos últimas también pueden
desembocar en denegación de servicio, y son causadas por controles de acceso
incorrectos (CVE-2017-6266) y una incorrecta inicialización de valores
internos, que puede dar lugar a un bucle infinito (CVE-2017-6267).
Las vulnerabilidades afectan a los
productos Geforce, NVS, Quadro y Tesla tanto en sistemas Windows como Linux.
Las actualizaciones ya están disponibles para los tres primeros en las
versiones 385.69 para Windows y 384.90 para Linux, mientras que para el
producto Tesla se publicarán en la semana del 25 de septiembre. Las
actualizaciones también estarán disponibles a través de GeForce Experience.
Más información:
- Security
Bulletin: NVIDIA GPU contains multiple vulnerabilities in the kernel mode
layer handler: http://nvidia.custhelp.com/app/answers/detail/a_id/4544
Fuente: Hispasec