Segurança

Informacoes Do Produto

Segurança de produtos NVIDIA

A NVIDIA leva a sério as questões de segurança e trabalha para avaliar e resolver essas questões rapidamente. Quando uma questão de segurança é relatada, a NVIDIA empenha os recursos adequados para analisar, validar e providenciar ações corretivas para resolver o problema. A NVIDIA trabalha em conjunto com a comunidade de inteligência de segurança para garantir que vulnerabilidades relacionadas a produtos e ações corretivas sejam divulgadas de forma adequada.


Contato com a NVIDIA para relatar questões de segurança


Questões de segurança relacionadas a produtos e serviços da NVIDIA podem ser relatadas aqui. Todos os envios são monitorados pelas equipes de segurança de produtos da NVIDIA e, se forem necessárias comunicações de acompanhamento, um de nossos especialistas em segurança entrará em contato com você.

OBSERVE: Não há suporte técnico para produtos disponível por meio dos mecanismos de formulário web ou e-mail PGP aqui listados.

Para obter suporte técnico para produtos NVIDIA, visite o website de suporte da NVIDIA
*Note que a NVIDIA fornece suporte técnico somente em Inglês.


Notificações de segurança


Esta lista inclui descrições breves de potenciais vulnerabilidades de segurança. Esses problemas são resolvidos com a atualização para os drivers mais recentes da NVIDIA.

Brief Originalmente postado em Última atualização em
Boletim de segurança: diversas vulnerabilidades afetam os sistemas com base em Windows para Quadro, NVS e GeForce
CVE-2016-4959: negação de serviço do desktop remoto
CVE-2016-3161, CVE-2016-5852: vulnerabilidades do caminho de serviço irrestrito para GFE GameStream e NVTray Plugin
CVE-2016-4960: elevação de privilégio do NVStreamKMS.sys
CVE-2016-4961: negação de serviço autenticado local do NVStreamKMS.sys
CVE-2016-5025: vulnerabilidade de negação de serviço do NVAPI
8/19/2016 8/19/2016
CVE-2016-2556: O escape de driver do kernel pode permitir o acesso a uma funcionalidade restrita.
Esse problema pode aumentar o risco de acesso de código malicioso a recursos privilegiados. A vulnerabilidade pode ser explorada até que se cause um potencial escalonamento de privilégio, o que pode permitir acesso a informações privadas ou causar negação de serviço a recursos do sistema.
8/02/2016 8/02/2016
Vulnerabilidades de driver do kernel do Linux para Tegra
As vulnerabilidades encontradas nos drivers do kernel do NVIDIA Tegra podem permitir que um invasor local transmita privilégios ou execute códigos arbitrários de kernel.
3/21/2016 3/21/2016
CVE-2016-2557: Acesso a memória privilegiada do escape de driver do kernel
Esse problema pode aumentar o risco de acesso de código malicioso a recursos privilegiados. A vulnerabilidade pode ser explorada até que se cause o acesso a memórias não inicializadas ou fora dos limites, resultando na divulgação de informações, falhas ou negação de serviço e potencial escalonamento de privilégio.
3/21/2016 3/21/2016
CVE-2016-2558: O escape de driver do kernel permite um ponteiro não confiável.
Esse problema pode aumentar o risco de acesso de código malicioso a recursos privilegiados. A vulnerabilidade pode ser explorada até que se cause o acesso a memórias não inicializadas ou fora dos limites, resultando na divulgação de informações, falhas ou negação de serviço e potencial escalonamento de privilégio.
3/21/2016 3/21/2016
Vulnerabilidades de multimídia no Stagefright do Google Android
O mecanismo de multimídia do sistema operacional Google Android, conhecido como Stagefright (ou libstagefright), é afetado por várias vulnerabilidades que podem permitir a um invasor remoto causar uma negação de serviço ou executar um código arbitrário com permissões elevadas.
11/20/2015 11/20/2015
CVE-2015-7866: CAMINHO DESCONHECIDO NO PAINEL DE CONTROLE NVIDIA
O painel de controle NVIDIA no Windows é afetado por uma vulnerabilidade de caminho desconhecido permitindo que um invasor local obtenha privilégios elevados.
11/18/2015 11/18/2015
CVE-2015-7865: A ARBITRARIEDADE DOS SERVIÇOS DO DRIVER 3D ESTEREOSCÓPICO PROMOVE A CRIAÇÃO DE CHAVES
O serviço 3D Vision nvSCPAPISvr.exe cria um pipe nomeado que pode permitir a elevação do privilégio. Em ambientes de domínio do Windows, também é possível explorar a vulnerabilidade se o invasor tiver uma conta de usuário válida em uma máquina associada a um domínio.
11/18/2015 11/18/2015
CVE-2015-7869: Entrada do modo de usuário não verificada
Este aviso refere-se a uma vulnerabilidade de segurança na camada de suporte do NVAPI nos drivers gráficos da GPU NVIDIA. Este relatório também detalha um aviso a respeito de problemas de sobrecarga integral no driver sob o modo de kernet subjacente.
11/18/2015 11/18/2015
ATUALIZAÇÃO DE SEGURANÇA DO MICROSOFT DETOURS
Um bug na implementação do Detours tem o potencial de reduzir a eficácia de alguns recursos de segurança do sistema operacional.
A NVIDIA está relançando uma biblioteca Detours atualizada com as configurações atuais para resolver o problema e atualizar os sistemas NVIDIA com o mais recente nível de patch do Microsoft Detours.
11/18/2015 11/18/2015
CVE-2015-5053: Mapeamentos de GPU realizados em memória de E/S do dispositivo de terceiros
A vulnerabilidade pode fazer com que a GPU acesse a memória E/S do dispositivo de terceiros após a fase de desalocação. Isso pode causar uma negação do serviço (congestionando o dispositivo com solicitações inválidas) ou pode ser usado para acessar um espaço privilegiado de E/S do dispositivo de terceiros.
11/09/2015 11/09/2015
CVE-2015-5950: Corrupção de memória devido a um cursor irregular na unidade de display NVIDIA
Foi encontrada uma vulnerabilidade na unidade NVIDIA que poderia ser usada para permitir que um usuário local e sem privilégios danificasse a memória de kernel. Essa vulnerabilidade poderia ser usada para obter privilégios de raiz locais.
09/25/2015 09/25/2015
CVE-2015-3625: Aumento de privilégios por falta de limpeza na "dereferência" de ponteiro no driver de kernel NVIDIA FreeBSD
O driver de kernel NVIDIA GPU para FreeBSD não limpa adequadamente os ponteiros usados no espaço do usuário antes de "dereferenciá-los".
06/19/2015 06/19/2015
CVE-2015-1170: Personificação de privilégios no Windows
A verificação do administrador de Kernel do driver de vídeo NVIDIA em alguns casos valida indevidamente os níveis de personificação do cliente local.
03/02/2015 03/02/2015
CVE-2014-5332: VULNERABILIDADE DO NMAP NO KERNEL DO TEGRA LINUX
Uma vulnerabilidade de uso de memória após a liberação (use-after-free) no componente NVMap permite que um único bit fixo apague dados em uma estrutura de memória reciclada. Para tirar proveito dessa vulnerabilidade, o atacante precisa explorar a condição de corrida que existe entre a conversão do FD para um ponteiro de estrutura de identificador (um ponto no tempo) e o incremento de contagem de referência da estrutura do identificador (outro ponto no tempo) para forçar a estrutura de memória de identificador a ser reciclada em um processo do kernel no qual o bit fixo pode ser aproveitado para exploração.
01/15/2015 01/15/2015
CVE-2014-8298: GLX-INDIRECT (incluindo CVE-2014-8091, CVE-2014-8098)
O suporte a renderização indireta GLX fornecido nos produtos NVIDIA está sujeito a vulnerabilidades divulgadas recentemente pela X.Org (CVE-2014-8093, CVE-2014-8098), além de vulnerabilidades identificadas internamente (CVE-2014-8298).
12/09/2014 12/11/2014
CVE-2014-0224: Vulnerabilidade de OpenSSL no GameStream
A biblioteca de OpenSSL incluída nos componentes GameStream do GeForce Experience antes da versão 2.1.1 e no SHIELD Hub antes da versão 3.2.18713345 está sujeita à vulnerabilidade SSL/TLS MITM de OpenSSL divulgada recentemente (CVE-2014-0224). Como resultado, um invasor que conseguir explorar com sucesso essa vulnerabilidade poderá roubar dados confidenciais da sessão GameStream, incluindo senha do usuário, e também modificar dados da sessão.
09/09/2014 09/09/2014
CVE-2014-0160: Vulnerabilidade de OpenSSL no Gamestream
A biblioteca OpenSSL incluída no componente GameStream do GeForce Experience 2.0.0 está sujeita à recém-descoberta vulnerabilidade Heartbleed. Como resultado disso, um ataque que consiga explorar essa vulnerabilidade poderá ler, a partir de outro computador, a memória de processo do serviço GameStream, e poderá roubar dados confidenciais da sessão GameStream, incluindo a senha do usuário, ou descriptografar sessões futuras do GameStream.
04/29/2014 04/29/2014
CVE-2013-5987: Vulnerabilidade de acesso à GPU sem privilégios
Uma falha no driver de uma placa de vídeo da NVIDIA permite que um software em modo usuário sem privilégios acesse a GPU de maneira inapropriada. Um invasor que venha a explorar essa vulnerabilidade poderá assumir o controle de um sistema afetado.
12/2/2013 12/2/2013
Vulnerabilidade de serviço de driver de vídeo NVIDIA CVE-2013-0109
Devido a um problema identificado com o driver NVIDIA, um agente malicioso pode — forçando exceções e gravando por cima da memória — potencialmente aumentar os privilégios para obter controle administrativo de um sistema. A vulnerabilidade é associada ao serviço de driver de vídeo da NVIDIA e afeta drivers da NVIDIA em sistemas operacionais Windows (Windows XP/Windows Vista/Windows 7/Windows 8 de 32 e 64 bits), a partir da versão 173.
2/22/2013 2/22/2013
Vulnerabilidade de serviço de driver 3D estereoscópico NVIDIA CVE-2013-0110
A NVIDIA verificou um problema com o Serviço de driver 3D estereoscópico da NVIDIA (nvSCPAPISvr.exe), que pode permitir que um agente malicioso aumente privilégios localmente, inserindo um arquivo executável no caminho do serviço afetado. O problema específico identificado foi que o serviço utilizava um caminho de serviço desconhecido, contendo, no mínimo, um espaço em branco.
2/22/2013 2/22/2013
Vulnerabilidade de serviço de atualização de Daemon da NVIDIA CVE-2013-0111
A NVIDIA verificou um problema com o Serviço de atualização de Daemon da NVIDIA (daemonu.exe), que pode permitir que um agente malicioso aumente privilégios localmente, inserindo um arquivo executável no caminho do serviço afetado. O problema específico identificado foi que o serviço utilizava um caminho de serviço desconhecido, contendo, no mínimo, um espaço em branco.
2/22/2013 2/22/2013
Vulnerabilidade de driver gráfico UNIX da NVIDIA CVE-2012-4225
Os drivers gráficos UNIX da NVIDIA anteriores a 295.71 e anteriores a 304.32 permitem que usuários locais gravem em posições arbitrárias da memória física e ganhem privilégios modificando a janela VGA com o uso de /dev/nvidia0.
8/2/2012 2/20/2013
Vulnerabilidade de segurança CVE-2012-0946 no driver UNIX da NVIDIA
Essa vulnerabilidade permite que um hacker com acesso de leitura e gravação sobre os nós de dispositivo da GPU possa reconfigurar as GPUs para ganhar acesso a posições arbitrárias na memória do sistema.
4/4/2012 8/6/2012
Vulnerabilidade de driver gráfico UNIX da NVIDIA CVE-2006-5379
A funcionalidade de renderização acelerada do Driver gráfico binário da NVIDIA (driver binary blob) para Linux v8774 e v8762 permite que hackers locais e remotos executem códigos arbitrários por meio de um valor de ampla largura em um glifo de fonte, que pode ser usado para gravar sobre posições arbitrárias da memória.
10/18/2006 2/20/2013