按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

NVIDIA 釋出新版 GPU 驅動程式,修復多達 29 個資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-12-02
  • 點閱次數:2684
NVIDIA 釋出新版 GPU 驅動程式,修復多達 29 個資安漏洞 TWCERT/CC

PC 顯示晶片大廠 NVIDIA 日前釋出新版 Windows 與 Linux 驅動程式,一共修復多達 29 個資安漏洞;這些漏洞形態包括任意程式碼執行與權限提升等,用戶應立即更新。

NVIDIA 在這波驅動程式更新中,一共修復 25 個 Windows 版驅動程式的各式漏洞,Linux 版則修復 4 個漏洞;其中兩個最為危險的漏洞如下:

  • CVE-2022-34669:存於 Windows GPU driver 中的本機用戶模式濫用漏洞;未經授權的用戶可以存取或修改應用程式的重要檔案,導致任意程式碼執行、權限提升、資訊洩漏、資料竄改、發動 DoS 攻擊等。
  • CVE-2022-34671:存於 Windows GPU driver 中的遠端用戶模式濫用漏洞;未經授權的一般用戶可用以越界寫入資料,導致任意程式碼執行、權限提升、資訊洩漏、資料竄改、發動 DoS 攻擊等。

CVE-34669 的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),對於已透過其他駭侵攻擊取得本機使用權的駭侵者和惡意軟體來說,可利用此方法存取 Windows 裝置,並且試圖提升執行權限。

CVE-34671 的 CVSS 危險程度評分為 8.5 分;雖然該漏洞透過網路遠端攻擊,但由於方法較為複雜,較不易成功,因此分數較低。

資安專家指出,由於 NVIDIA 顯示卡的市場佔有率相當高,因此有意發動攻擊的駭侵者,很容易找到可資攻擊的受害對象;如果你的電腦系統也使用 NVIDIA 顯示產品,應特別提高警覺。

建議 NVIDIA 顯示產品用戶,應立即透過系統更新工具更新到最新版本的驅動程式,以修復已知漏洞,避免駭侵者利用已知漏洞大規模發動攻擊。

  • CVE編號:CVE-2022-34669、CVE-2022-34671 等
  • 影響產品(版本):參考 NVIDIA 資安通報上揭露之資訊。
  • 解決方案:升級至最新版本 NVIDIA 驅動程式。
回頁首