کمیته رکن چهارم – انویدیا وصلههایی را برای چندین آسیبپذیری منع سرویس (DoS) و ارتقاء امتیاز را که بر روی راهاندازهای کارت گرافیکی آن مانند GeForce، NVS، Quadro و Tesla تاثیر میگذاشتند، منتشر کرده است. توصیههای امنیتی منتشرشده توسط این شرکت در روز پنجشنبه، وجود ۴ آسیبپذیری با شدت بالا در پردازندهی لایهی حالت هسته (nvlddmkm.sys) برای عملکرد DxgkDdiEscape را نشان میدهند.
این ارتباط در اوایل سال جاری توسط محققان پروژه صفر گوگل بهعنوان بخشی از تلاش آنها برای حمله به راهاندازهای حالت هستهی انویدیا در ویندوز مورد بررسی قرار گرفت. این کارشناسان که در مجموع ۱۶ حفرهی امنیتی را یافتند، DxgkDdiEscape را بهعنوان یک «نقطهی ورود بهخوبی شناخته شده برای آسیبپذیریهای احتمالی» توصیف کردند. آسیبپذیریهایی که در روز پنجشنبه توسط انویدیا منتشر شد، به این دلیل وجود دارند که ارزشدهی کاربر به راهانداز، اعتبار درستی ندارد. یک مهاجم محلی میتواند از این ضعف برای ایجاد شرایط منع سرویس یا ارتقاء امتیازات بهرهبرداری نماید.
چهار آسیبپذیری دیگر که با شدت متوسط طبقهبندی شدهاند، مربوط به کنترل دسترسی نامناسب، مقداردهی اولیهی نادرست اشیای داخلی و ورودی نامعتبر کاربر میباشد. این آسیبپذیریها میتوانند توسط یک مهاجم محلی برای ایجاد شرایط منع سرویس مورد بهرهبرداری قرار بگیرند. تمامی این آسیبپذیریها راهاندازهای ویندوز را تحت تاثیر قرار میدهند، اما برخی نیز لینوکس، FreeBSD و سولاریس را هدف قرار دادهاند. این آسیبپذیریها راهاندازهای ویندوز برای GeForce، NVS و Quadro را با انتشار نسخهی ۳۸۵.۶۹ هدف قرار دادهاند. انتظار میرود که بهروزرسانی تسلا در هفتهی آینده در دسترس قرار گیرد. برای لینوکس، FreeBSD و سولاریس، نسخههای ۳۸۴.۹۰ و ۳۷۵.۸۸ آسیبپذیریها را وصله کردهاند.
انویدیا در اواخر ماه ژوئیه، ۹ آسیبپذیری منع سرویس و ارتقاء امتیازات در راهاندازهای گرافیکی GPU خود را وصله کرد. اکثر این حفرههای امنیتی بهعنوان آسیبپذیریهای با شدت بالا طبقهبندی شده بودند. لِنووو نیز این هفته، توصیههایی را برای اطلاعرسانی به مشتریان خود در مورد آسیبپذیریهای راهانداز گرافیکی انویدیا که در ماه ژوئیه وصله شده بودند، منتشر کرد.
منبع : news.asis.io
