Múltiples vulnerabilidades de ejecución de código arbitrario y denegación de servicio (DoS) en Controlador de pantalla NVIDIA GPU para Linux y Windows

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan al controlador de pantalla NVIDIA GPU para Linux y Windows, que permitirían a un atacante realizar ejecución de código arbitrario, denegación de servicio (DoS), escalamiento de privilegios, entre otros. 

Las vulnerabilidades reportadas se componen de 12 (doce) de severidad “Alta”, 15 (quince) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE‑2022-34669, de severidad alta, con puntuación de 8.8. Esta vulnerabilidad se debe a una falla en la capa de modo usuario de NVIDIA GPU Display Driver para Windows. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución de código arbitrario, denegación de servicio (DoS), escalamiento de privilegios, divulgación de información. 

• CVE-2022-34671, de severidad alta, con puntuación de 8.5. Esta vulnerabilidad se debe a una falla en la capa de modo usuario de NVIDIA GPU Display Driver para Windows, donde un usuario normal sin privilegios puede provocar escritura fuera de los límites. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución de código arbitrario, denegación de servicio (DoS), escalamiento de privilegios, divulgación de información y manipulación de datos. 

• CVE-2022-42261, de severidad alta, con puntuación de 7.8. Esta vulnerabilidad se debe a la falta de validación en el complemento vGPU de NVIDIA. Un atacante podría aprovechar esta vulnerabilidad para realizar manipulación de datos, divulgación de información y provocar denegación de servicio (DoS) en el sistema afectado. 

Puede acceder al listado completo de las vulnerabilidades aquí 

Algunos de los productos afectados de NVIDIA son:  

• GeForce: Windows R525, versiones anteriores a 526.98. 

• Studio: Windows R525, versiones anteriores a 526.98. 
• NVIDIA RTX/Quadro, NVS: Windows R525, versiones anteriores a 527.27.  
• Tesla: Windows R525, todas las versiones. 

Puede acceder al listado completo de los productos afectados aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por NVIDIA en el siguiente enlace: 

• https://www.nvidia.com/Download/index.aspx  

Referencias: 

• https://www.securityweek.com/nvidia-patches-many-vulnerabilities-windows-linux-display-drivers 
• https://nvidia.custhelp.com/app/answers/detail/a_id/5415 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-34669 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-34671 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42261 
• https://www.nvidia.com/Download/index.aspx