• 發布單位:TWCERT/CC
• 更新日期:2022-12-02
• 點閱次數:6558

PC 顯示晶片大廠 NVIDIA 日前釋出新版 Windows 與 Linux 驅動程式，一共修復多達 29 個資安漏洞；這些漏洞形態包括任意程式碼執行與權限提升等，用戶應立即更新。

NVIDIA 在這波驅動程式更新中，一共修復 25 個 Windows 版驅動程式的各式漏洞，Linux 版則修復 4 個漏洞；其中兩個最為危險的漏洞如下：

• CVE-2022-34669：存於 Windows GPU driver 中的本機用戶模式濫用漏洞；未經授權的用戶可以存取或修改應用程式的重要檔案，導致任意程式碼執行、權限提升、資訊洩漏、資料竄改、發動 DoS 攻擊等。

• CVE-2022-34671：存於 Windows GPU driver 中的遠端用戶模式濫用漏洞；未經授權的一般用戶可用以越界寫入資料，導致任意程式碼執行、權限提升、資訊洩漏、資料竄改、發動 DoS 攻擊等。

CVE-34669 的 CVSS 危險程度評分高達 8.8 分（滿分為 10 分），對於已透過其他駭侵攻擊取得本機使用權的駭侵者和惡意軟體來說，可利用此方法存取 Windows 裝置，並且試圖提升執行權限。

CVE-34671 的 CVSS 危險程度評分為 8.5 分；雖然該漏洞透過網路遠端攻擊，但由於方法較為複雜，較不易成功，因此分數較低。

資安專家指出，由於 NVIDIA 顯示卡的市場佔有率相當高，因此有意發動攻擊的駭侵者，很容易找到可資攻擊的受害對象；如果你的電腦系統也使用 NVIDIA 顯示產品，應特別提高警覺。

建議 NVIDIA 顯示產品用戶，應立即透過系統更新工具更新到最新版本的驅動程式，以修復已知漏洞，避免駭侵者利用已知漏洞大規模發動攻擊。

• CVE編號：CVE-2022-34669、CVE-2022-34671 等
• 影響產品(版本)：參考 NVIDIA 資安通報上揭露之資訊。
• 解決方案：升級至最新版本 NVIDIA 驅動程式。