NVIDIA发布安全更新，修复GPU驱动程序的10个漏洞

近日，NVIDIA发布安全更新，以修复在 Windows GPU驱动程序中发现的10个漏洞，其中包括6个中危漏洞，4个高危漏洞。这些漏洞可能导致Windows 面临信息泄露、特权提升、拒绝服务、代码执行等问题。

NVIDIA更新适用的产品

1、Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品，涵盖驱动R450、R470 和 R510等类型。

2、涵盖GTX 600和 GTX 700 Kepler系列显卡。

虽然在2021年10月这些产品（GTX 600和 GTX 700 Kepler系列显卡）就已经停产了，但是VIDIA承诺将继续为这些产品提供关键安全更新，直到2024年9月。

5月份修复的4个高危漏洞

1、漏洞编号：CVE-2022-28181（CVSS v3 得分：8.5）

由通过网络发送的特制Shader导致的内核模式层越界写入，可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。

2、漏洞编号：CVE-2022-28182（CVSS v3 得分：8.5）

DirectX11 用户模式驱动程序存在缺陷，允许未经授权的攻击者通过网络发送特制的共享并导致拒绝服务、权限升级、信息泄露和数据篡改。

3、漏洞编号：CVE-2022-28183（CVSS v3 分数：7.7）

内核模式层中的漏洞，非特权普通用户可能导致越界读取，这可能导致拒绝服务和信息泄露。

4、漏洞编号：CVE-2022-28184（CVSS v3 得分：7.1）

DxgkDdiEscape 的内核模式层 (nvlddmkm.sys) 处理程序中的漏洞，普通非特权用户可以访问管理员特权寄存器，这可能导致拒绝服务、信息泄露，以及数据篡改。

这4个漏洞可以被整合到恶意软件中，攻击者因此获得更高权限。CVE-2022-28181和CVE-2022-28182漏洞可以通过网络利用，CVE-2022-28183和CVE-2022-28184可以通过本地访问来利用，这对于感染低权限系统的恶意软件很有帮助。

Cisco Talos发现了漏洞CVE-2022-28181和漏洞CVE-2022-28182，为此发布了文章，介绍他们如何通过提供格式错误的Compute Shader来触发内存损坏漏洞，通过WebAssembly和WebGL，攻击者可以在浏览器中使用恶意Shader。

Cisco Talos认为，漏洞CVE-2022-28181可能由运行虚拟化环境（即 VMware、qemu、VirtualBox 等）的虚拟机触发，以执行虚拟机到主机的逃逸。理论上使用webGL和webassembly的Web浏览器也可能触发漏洞。

NVIDIA建议，为了避免受影响的设备遭到网络攻击，用户应提高网络安全意识，尽快安装发布的安全更新。更多关于硬件产品型号的最新更新，可以去NVIDIA的下载中心找到。