Είναι ενδιαφέρον, εκτός από τις τρέχουσες και τις πρόσφατες σειρές προϊόντων που υποστηρίζονται ενεργά, η τελευταία έκδοση της NVIDIA καλύπτει επίσης τις κάρτες της σειράς GTX 600 και GTX 700 Kepler, η υποστήριξη των οποίων έληξε τον Οκτώβριο του 2021.
Ο κατασκευαστής GPU στο παρελθόν υποσχέθηκε να συνεχίσει να παρέχει κρίσιμες ενημερώσεις ασφαλείας για αυτά τα προϊόντα μέχρι τον Σεπτέμβριο του 2024 και αυτή η ενημέρωση προγράμματος οδήγησης τιμά αυτή την υπόσχεση.
Τα τέσσερα ελαττώματα υψηλής σοβαρότητας που διορθώθηκαν αυτόν τον μήνα είναι:
- CVE-2022-28181 (βαθμολογία CVSS v3: 8,5) – Εγγραφή εκτός ορίων στο επίπεδο λειτουργίας πυρήνα που προκαλείται από έναν ειδικά κατασκευασμένο shader που αποστέλλεται μέσω του δικτύου, που πιθανώς οδηγεί σε κώδικα εκτέλεση, άρνηση υπηρεσίας, κλιμάκωση προνομίων, αποκάλυψη πληροφοριών και παραποίηση δεδομένων.
- CVE-2022-28182 (βαθμολογία CVSS v3: 8,5) – Ελάττωμα στο πρόγραμμα οδήγησης της λειτουργίας χρήστη DirectX11 που επιτρέπει σε έναν μη εξουσιοδοτημένο εισβολέα να στείλει ένα ειδικά κατασκευασμένο κοινόχρηστο στοιχείο μέσω του δικτύου και να προκαλέσει άρνηση υπηρεσίας, κλιμάκωση προνομίων, αποκάλυψη πληροφοριών και παραποίηση δεδομένων.
- CVE-2022-28183 (βαθμολογία CVSS v3: 7,7) – Ευπάθεια στο επίπεδο λειτουργίας πυρήνα, όπου ένας μη προνομιούχος τακτικός χρήστης μπορεί να προκαλέσει ανάγνωση εκτός ορίων, η οποία μπορεί να οδηγήσει σε άρνηση υπηρεσίας και αποκάλυψη πληροφοριών.
- CVE-2022-28184 (βαθμολογία CVSS v3: 7.1) – Ευπάθεια στον χειριστή επιπέδου λειτουργίας πυρήνα (nvlddmkm.sys) για το DxgkDdiEscape, όπου ένας κανονικός μη προνομιούχος χρήστης μπορεί να έχει πρόσβαση σε μητρώα με προνόμια διαχειριστή, που μπορεί να οδηγήσει σε άρνηση υπηρεσίας, αποκάλυψη πληροφοριών , και παραποίηση δεδομένων.
Αυτά τα τρωτά σημεία απαιτούν χαμηλά προνόμια και καμία αλληλεπίδραση με τον χρήστη, επομένως θα μπορούσαν να ενσωματωθούν σε κακόβουλο λογισμικό, επιτρέποντας στους εισβολείς να εκτελούν εντολές με υψηλότερα δικαιώματα.
Τα δύο πρώτα είναι εκμεταλλεύσιμα μέσω του δικτύου, ενώ τα άλλα δύο αξιοποιούνται με τοπική πρόσβαση, η οποία θα μπορούσε να είναι χρήσιμη για ένα κακόβουλο λογισμικό που μολύνει ένα σύστημα με χαμηλά προνόμια.
Η Cisco Talos, η οποία ανακάλυψε τα CVE-2022-28181 και CVE-2022-28182, δημοσίευσε επίσης μια ανάρτηση σήμερα που περιγράφει λεπτομερώς πώς προκάλεσαν τα ελαττώματα της καταστροφής της μνήμης παρέχοντας έναν λανθασμένο υπολογιστικό σκιερ.
Καθώς οι φορείς απειλών μπορούν να χρησιμοποιήσουν ένα κακόβουλο shader στο πρόγραμμα περιήγησης από το WebAssembly και το WebGL, το Talos προειδοποιεί ότι οι φορείς απειλών ενδέχεται να είναι σε θέση να το ενεργοποιήσουν από απόσταση.