O firmie NVIDIA

  • Program partnerski
  • WIADOMOŚCI NVIDIA
  • BLOG NVIDIA
  • INWESTORZY
Bezpieczeństwo produktów firmy NVIDIA

Firma NVIDIA poważnie podchodzi do kwestii bezpieczeństwa i stara się szybko oszacowywać i rozwiązywać związane z nim problemy. Gdy zgłaszane jest potencjalne naruszenie bezpieczeństwa, firma NVIDIA angażuje odpowiednie zasoby, aby dany problem przeanalizować, zweryfikować i podjąć odpowiednie działania mające na celu jego rozwiązanie. NVIDIA współpracuje z wywiadem ds. bezpieczeństwa, aby zapewnić, że słabe punkty danego produktu zostały prawidłowo wykryte i podjęto odpowiednie działania korygujące.

 

POWIADAMIANIE FIRMY NVIDIA O POTENCJALNYCH ZAGROŻENIACH BEZPIECZEŃSTWA

 

Obawy związane z bezpieczeństwem produktów i usług firmy NVIDIA można zgłaszać tutaj. Wszystkie zgłoszenia są rozpatrywane przez zespół NVIDIA ds. bezpieczeństwa produktów. W razie potrzeby skontaktuje się z Tobą jeden z naszych specjalistów do spraw bezbieczeństwa.

UWAGA: Powyższy formularz nie służy jako formularz wsparcia technicznego dla produktów. Aby uzyskać wsparcie techniczne w zakresie produktów NVIDIA, odwiedź naszą stronę pomocy NVIDIA.

 

POWIADOMIENIA DOTYCZĄCE BEZPIECZEŃSTWA

 

Poniższa lista zawiera krótkie opisy potencjalnych luk w zabezpieczeniach. Problemy te można wyeliminować aktualizując sterowniki NVIDIA do najnowszej wersji.

Opis (jęz. angielski) Data wydania Data ostatniej aktualizacji
Security Bulletin: NVIDIA GeForce Experience contains a vulnerability in NVIDIA Web Helper.exe (repackaged Node.js)
CVE-2017-6250: Violation of application execution policy and local code execution
27/04/2017 27/04/2017
Application Whitelisting Through NVIDIA node.js 21/04/2017 21/04/2017
sterownik graficzny układów GPU NVIDIA zawiera kilka luk w zabezpieczeniach procedury warstwy trybu jądra
CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324: odmowa usługi lub potencjalne podniesienie uprawnień
CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320: odmowa usługi
CVE-2017-0317: podniesienie uprawnień
14/02/2017 04/04/2017
Biuletyn związany z bezpieczeństwem: luka w zabezpieczeniach usługi NVIDIA Web Helper.exe wpływa na oprogramowanie NVIDIA GeForce Experience (CVE-2016-8827) 14/12/2016 14/12/2016
Sterownik graficzny układów GPU NVIDIA dla systemu Windows zawiera kilka luk w zabezpieczeniach procedury warstwy trybu jądra (nvlddmkm.sys) funkcji DxgDdiEscape, sterownik graficzny układów GPU NVIDIA dla systemu Linux lukę w zabezpieczeniach warstwy trybu jądra (nvidia.ko)
CVE-2016-8824, CVE-2016-8821: podniesienie uprawnień
CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: odmowa usługi lub potencjalne podniesienie uprawnień
CVE-2016-8826: odmowa usługi
14/12/2016 04/1/2017
Produkty NVIDIA Shield zawierają wiele luk w zabezpieczeniach hosta zadań nvhost_job.c
CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: możliwość wystąpienia awarii systemu
09/12/2016 09/12/2016
Produkty NVIDIA Shield zawierają wiele luk w zabezpieczeniach serwera mediów i jądra
CVE-2016-3847:przepełnienie zapisu sterty
CVE-2016-3815: odczyt stosu sterownika o zarządzanej przez użytkownika długości
CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: luka w zabezpieczeniach dotycząca podniesienia uprawnień
CVE-2016-3793: Zjawisko hazardu dla błędu typu use-after-free
CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: ujawnienie informacji
30/11/2016 21/11/2016
Sterownik graficzny układów GPU NVIDIA dla systemu Windows zawiera wiele luk w zabezpieczeniach procedury warstwy trybu jądra (nvlddmkm.sys) funkcji DxgDdiEscape
CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818, and CVE-2016-8819: odmowa usługi lub potencjalne podniesienie uprawnień
CVE-2016-8820: odmowa usługi lub ujawnienie informacji
18/11/2016 04/1/2017
Sterownik graficzny układów GPU NVIDIA dla systemu Linux zawiera luki w zabezpieczeniach dotyczące sprawdzania brakujących uprawnień i niewłaściwej walidacji:
CVE-2016-7382 and CVE-2016-7389: podniesienie uprawnień
28/10/2016 04/1/2017
Sterownik graficzny układów GPU NVIDIA dla systemu Windows zawiera kilka luk w zabezpieczeniach procedury warstwy trybu jądra (nvlddmkm.sys), oprogramowanie NVIDIA GeForce Experience zawiera lukę w zabezpieczeniach warstwy trybu jądra (nvstreamkms.sys)
Sterownik graficzny układów GPU NVIDIA dla systemu Windows zawiera kilka luk w zabezpieczeniach procedury warstwy trybu jądra (nvlddmkm.sys):
CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: odmowa usługi lub potencjalne podniesienie uprawnień
CVE-2016-7382: podniesienie uprawnień
CVE-2016-7386: wyciek zawartości pamięci jądra do przestrzeni użytkownika poprzez niezainicjowany bufor
Oprogramowanie NVIDIA GeForce Experience zawiera lukę w zabezpieczeniach warstwy trybu jądra (nvstreamkms.sys):
CVE-2016-8812: odmowa usługi lub podniesienie uprawnień
28/10/2016 04/1/2017
Biuletyn związany z bezpieczeństwem: kilka luk w zabezpieczeniach, które dotyczą systemów Windows z kartami Quadro, NVS i GeForce
CVE-2016-4959: odmowa usługi zdalnego pulpitu
CVE-2016-3161, CVE-2016-5852: nieprzytoczone luki w zabezpieczeniach ścieżki usługi funkcji GameStream oprogramowania GFE oraz wtyczki NVTray
CVE-2016-4960: podniesienie uprawnień sterownika NVStreamKMS.sys
CVE-2016-4961: lokalna uwierzytelniona odmowa usługi sterownika NVStreamKMS.sys
CVE-2016-5025: luka w zabezpieczeniach związana z odmową usługi interfejsu NVAPI
19/8/2016 19/8/2016
Luki w zabezpieczeniach sterownika jądra systemu Linux dotyczące układów Tegra
Luki w zabezpieczeniach odnalezione w sterownikach jądra systemu Linux dotyczące układów Tegra mogą pozwolić lokalnemu nieuprawnionemu użytkownikowi podniesienie uprawnień lub wykonanie dowolnego kodu jądra.
02/08/2016 02/08/2016
CVE-2016-2556: Kernel driver escape can allow access to restricted functionality
Problem ten może prowadzić do zwiększonego ryzyka dostępu złośliwego kodu do uprzywilejowanych zasobów. Luka w zabezpieczeniach może zostać wykorzystana do spowodowania potencjalnego podniesienia poziomu uprawnień, co mogłoby umożliwić dostęp do informacji prywatnych lub spowodować odmowę usługi w odniesieniu do zasobów systemowych.
3/21/2016 3/21/2016
CVE-2016-2557: Kernel driver escape privileged memory access
Problem ten może prowadzić do zwiększonego ryzyka dostępu złośliwego kodu do uprzywilejowanych zasobów. Luka w zabezpieczeniach może zostać wykorzystana do uzyskania dostępu do nieoczyszczonego lub zakazanego obszaru pamięci powodując ujawnienie informacji, awarie lub odmowę usługi, czy też potencjalne podniesienie poziomu uprawnień.
3/21/2016 3/21/2016
CVE-2016-2558: Kernel driver escape allows untrusted pointer
Problem ten może prowadzić do zwiększonego ryzyka dostępu złośliwego kodu do uprzywilejowanych zasobów. Luka w zabezpieczeniach może zostać wykorzystana do uzyskania dostępu do nieoczyszczonego lub zakazanego obszaru pamięci powodując ujawnienie informacji, awarie lub odmowę usługi, czy też potencjalne podniesienie poziomu uprawnień.
3/21/2016 3/21/2016
Google Android Stagefright Multimedia Vulnerabilities
Silnik odpowiedzialny za multimedia w systemie operacyjnym Android firmy Google, Stagefright (lub libstagefright), posiada kilka luk w zabezpieczeniach, które mogą umożliwić zdalnemu użytkownikowi przeprowadzenie ataku typu Denial of Service i wykonanie dowolnego kodu z podwyższonym poziomem uprawnień.
20/11/2015 20/11/2015
CVE-2015-7866: NVIDIA CONTROL PANEL UNQUOTED PATH
Panel sterowania NVIDIA w systemie Windows dotknięty jest luką w zabezpieczeniach związaną z niedookreśloną ścieżką, która pozwala lokalnemu użytkownikowi uzyskanie podwyższonych uprawnień.
18/11/2015 18/11/2015
CVE-2015-7865: STEREOSCOPIC 3D DRIVER SERVICE ARBITRARY RUN KEY CREATION
Usługa 3D Vision, nvSCPAPISvr.exe, instalowana jako część sterownika 3D Vision w środowiskach Windows tworzy nazwany potok, który może pozwolić na podwyższenie uprawnień. W środowiskach domeny Windows możliwe jest także wykorzystanie tej luki w zabezpieczeniach, jeżeli atakujący użytkownik posiada ważne konta użytkownika na jednej z maszyn dołączonych do domeny.
18/11/2015 18/11/2015
CVE-2015-7869: Unsanitized User Mode Input
To zalecenie dotyczy luki w zabezpieczeniach warstwy obsługi NVAPI sterowników graficznych układów GPU NVIDIA. Raport ten również szczegółowo opisuje zalecenia związane z problemami przepełnienia całkowitoliczbowego w podstawowym sterowniku jądra.
18/11/2015 18/11/2015
MICROSOFT DETOURS SECURITY UPDATE
Błąd związany z implementacją biblioteki Detours może potencjalnie zmniejszyć efektywność niektórych funkcji bezpieczeństwa systemu operacyjnego.
Firma NVIDIA wydaje zaktualizowaną bibliotekę Detours z bieżącymi wersjami sterowników, aby rozwiązać ten problem i zaktualizować systemy NVIDIA do najbardziej aktualnej wersji biblioteki Microsoft Detours.
18/11/2015 18/11/2015
CVE-2015-5950 Uszkodzenie zawartości pamięci spowodowane wykorzystaniem nieoczyszczonego wskaźnika w sterowniku graficznym NVIDIA
Znaleziono lukę w zabezpieczeniach sterownika NVIDIA, która mogła zostać wykorzystana do umożliwienia lokalnemu, nieuprawnionemu użytkownikowi uszkodzenie zawartości pamięci jądra. Mogło to zostać wykorzystane do uzyskania uprawnień lokalnego administratora.
25/09/2015 25/09/2015
CVE-2015-3625: Eskalacja uprawnień poprzez nieoczyszczone wyłuskiwanie wskaźnika w sterowniku jądra NVIDIA dla systemu FreeBSD
Sterownik układów GPU NVIDIA na poziomie jądra dla systemu FreeBSD niewłaściwie oczyszcza wskaźniki w pamięci przestrzeni użytkownika przed ich wcześniejszym wyłuskaniem.
19/06/2015 19/06/2015
System operacyjny Linux L4T dla urządzeń NVIDIA Tegra zawiera lukę typu przepełnienie bufora, która dotyczy biblioteki glibc i pozwala na wykonanie dowolnego kodu
CVE-2015-0235: przepełnienie sterty (typu GHOST) w bibliotece glibc
03/03/2015 11/02/2017
Biuletyn związany z bezpieczeństwem: luki w zabezpieczeniach powłoki Bash dotyczące systemu Linux L4T dla urządzeń NVIDIA Tegra
2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: luka w zabezpieczeniach powłoki Bash znana jako "Shellshock".
03/03/2015 03/02/2017
CVE-2015-1170: Windows Privilege Impersonation Check
Funkcja wyboru administratora w jądrze sterownika wyświetlacza NVIDIA w niektórych przypadkach nieprawidłowo sprawdza lokalne poziomy personifikacji klienta.
02/03/2015 02/03/2015
LUKA W ZABEZPIECZENIACH CVE-2014-5332: TEGRA LINUX KERNEL NVMAP
Chwilowa luka typu use-after-free w zabezpieczeniach komponentu NVMap umożliwia pojedynczemu bitowi wyczyszczenie danych z odzyskanej struktury pamięci. Aby wykorzystać tę lukę, osoba atakująca musi wykorzystać zjawisko race condition, które zachodzi między konwersją deskryptora FD do wskaźnika obsługiwanej struktury (jeden punkt w czasie) oraz wzrostem licznika referencji obsługiwanej struktury (drugi punkt w czasie), a następnie wymusić odzyskanie obsługiwanej struktury pamięci w procesie wykonywanym w trybie jądra, w którym ustalony bit może zostać wykorzystany do eksploatowania.
15/01/2015 15/01/2015
CVE-2014-8298: Niebezpośredni rendering GLX (włącznie z CVE-2014-8093, CVE-2014-8098)
Obsługa niebezpośredniego renderingu GLX przez produkty NVIDIA jest zagrożona przez niedawno ujawnione luki w zabezpieczeniach (CVE-2014-8093, CVE-2014-8098, jak również przez wewnętrznie odkrytą lukę w zabezpieczeniach (CVE-2014-8298).
09/12/2014 11/12/2014

CVE-2014-0224: luka w zabezpieczeniach biblioteki OpenSSL funkcji GameStream

Biblioteka OpenSSL dostępna w ramach komponentów funkcji GameStream oprogramowania GeForce Experience (przed wersją 2.1.1) i SHIELD Hub (przed wersją 3.2.18713345) posiada lukę w niedawno ujawnionych zabezpieczeniach OpenSSL SSL/TLS MITM (CVE-2014-0224). W związku z tą luką, osoba atakująca, której uda się ją wykorzystać, może potencjalnie wykraść poufne dane sesji usługi GameStream, w tym hasło użytkownika oraz zmodyfikować dane sesji.

09/09/2014

09/09/2014

CVE-2014-0160: luka w zabezpieczeniach związana z biblioteką OpenSSL funkcji Gamestream.

Biblioteka OpenSSL funkcji GameStream oprogramowania GeForce Experience 2.0.0 posiada niedawno ujawnioną lukę w zabezpieczeniach Heartbleed. W związku z tą luką, osoba atakująca, której uda się ją wykorzystać, może z innego komputera odczytać dane pamięci procesu funkcji GameStream i potencjalnie wykraść poufne dane o usłudze GameStream, w tym hasło użytkownika lub w przyszłości odszyfrować sesje GameStream.

29/04/2014

29/04/2014

CVE-2013-5987: luka w zabezpieczeniach związana z nieuprawnionym dostępem do układu GPU.

Błąd sterownika graficznego NVIDIA umożliwia nieuprawnionemu oprogramowaniu w trybie użytkownika dostęp do układu GPU. Osoba której uda się wykorzystać tę lukę, może uzyskać kontrolę nad systemem, którego dotyczy luka.

02/12/2013

02/12/2013

Luka w zabezpieczeniach CVE-2013-0131: przepełnienie bufora kursora ARGB sterownika układów GPU NVIDIA (dla systemów UNIX) w trybie "NoScanout".

Gdy sterownik NVIDIA dla systemu X Window pracuje w trybie "NoScanout", a klient X instaluje duży kursor ARGB (64x64 lub 256x256 w zależności od wersji sterownika), dojdzie do przeładowania bufora. Może to powodować odmowę usługi (np. błąd segmentacji serwera X) lub mogło zostać wykorzystane do wykonania dowolnego kodu. Ze względu na to, że serwer X pracuje jako setuid root w wielu konfiguracjach, atakujący mógł potencjalnie wykorzystać tę lukę w zabezpieczeniach tych konfiguracji, aby zyskać uprawnienia roota.

02/04/2013

02/04/2013

CVE-2013-0109: Luka w zabezpieczeniach związana z usługą NVIDIA Display Driver

Ze względu na problem ze sterownikiem NVIDIA, osoba niepożądana potencjalnie mogłaby - poprzez wymuszanie wyjątków i nadpisanie pamięci - zwiększyć prawo dostępu, aby uzyskać prawa administratora do systemu. Luka w zabezpieczeniach związana jest z usługą NVIDIA Display Driver i odnosi się do sterowników NVIDIA dla systemu Windows (Windows XP/Windows Vista/Windows 7/Windows 8 - 32 i 64-bitowe) począwszy od wersji 173 sterowników.

22/02/2013

22/02/2013

CVE-2013-0110: Luka w zabezpieczeniach związana z usługą NVIDIA Stereoscopic 3D Driver

NVIDIA potwierdziła problem z usługą NVIDIA Stereoscopic 3D Driver (nvSCPAPISvr.exe), który mógł umożliwić osobie niepożądanej na potencjalne zwiększenie lokalnie prawa dostępu, poprzez wprowadzenie pliku wykonywalnego do ścieżki niepoprawnie działającej usługi. Ten konkretny błąd polegał na tym, że usługa korzystała ze ścieżki unquoted, zawierającej co najmniej jeden odstęp.

22/02/2013

22/02/2013

CVE-2013-0111: Luka w zabezpieczeniach związana z usługą NVIDIA Update Service Daemon

NVIDIA potwierdziła problem z usługą NVIDIA Update Service Daemon (daemonu.exe), który mógł umożliwić osobie niepożądanej na potencjalne zwiększenie lokalnie prawa dostępu, poprzez wprowadzenie pliku wykonywalnego do ścieżki niepoprawnie działającej usługi. Ten konkretny błąd polegał na tym, że usługa korzystała ze ścieżki unquoted, zawierającej co najmniej jeden odstęp.

22/02/2013

22/02/2013

CVE-2012-4225: Luka w zabezpieczeniach związana ze sterownikiem NVIDIA UNIX do kart graficznych

Sterowniki do kart graficznych NVIDIA UNIX z serii wcześniejszych niż 295.71 i 304.32 umożliwiają lokalnym użytkownikom na nadpisanie dowolnej liczby lokacji pamięci fizycznej i zwiększenie prawa dostępu poprzez modyfikację okna VGA wykorzystując /dev/nvidia0.

02/08/2012

20/02/2013

Luka w zabezpieczeniach CVE-2012-0946 w sterowniku NVIDIA UNIX

Ta luka umożliwia osobie atakującej, która ma dostęp odczytu i zapisu do węzłów GPU, na przekonfigurowanie układu GPU, aby zyskać dostęp do dowolnej ilości pamięci systemowej.

04/04/2012

06/08/2012

CVE-2006-5379: Luka w zabezpieczeniach związana ze sterownikiem NVIDIA UNIX do kart graficznych

Akcelerowana funkcjonalność renderingu sterownika binarnego do kart graficznych NVIDIA (blob binarny) dla systemu Linux v8774 i v8762 umożliwia na lokalne i zdalne ataki, mające na celu uruchomienie dowolnego kodu poprzez nieprawidłową wartość szerokości czcionki, co może być wykorzystane do nadpisania dowolnych lokacji pamięci.

18/10/2006

20/02/2013

 
O firmie NVIDIA

Technologie obliczeniowe związane
z przetwarzaniem grafiki

Historia firmy NVIDIA
Kadra zarządzająca
Praca w NVIDIA
Oddziały NVIDIA
Polityka

Informacje

Wiadomości NVIDIA
Blog NVIDIA
Inwestorzy
Program partnerski NVIDIA

Polityka firmy

Informacje Prawne
Postanowienia odnośnie
mediów społecznościowych

Polityka Prywatnosci
Polityka plików Cookie
Bezpieczeństwo

Powiązane odnośniki

NVIDIA Research
Współpraca z uczelniami
Zapytania o prelegentów

Znajdź nas Online

NVIDIA Blog Blog NVIDIA

Facebook Facebook

Twitter Twitter

Twitch Twitch

YouTube YouTube