NVIDIA
ha publicado un
boletín de seguridad que soluciona una
vulnerabilidad en sus controladores gráficos que podría permitir una elevación
de privilegios.
La vulnerabilidad se debe a un
error de falta de comprobación que podría causar una corrupción de la memoria
del kernel. Un usuario local sin privilegios podría utilizar una llamada IOCTL
(llamada de sistema que permite a una aplicación controlar o comunicarse con un
driver de dispositivo) para escribir un valor entero de 32 bits almacenado en
el controlador del núcleo a una posición de memoria especificada por el
usuario, incluida la memoria del núcleo, y obtener privilegios adicionales y
tomar control del sistema afectado.
El descubrimiento de este fallo
de seguridad, al que se le ha asignado el identificador CVE-2015-5950, ha sido
realizado por Dario Weisser, quien además ha enviado a NVIDIA una prueba de
concepto que aprovecha dicha vulnerabilidad para causar una denegación de
servicio. Dice disponer de otra prueba de concepto que logra la elevación de privilegios
pero no ha sido mostrada a la empresa.
Se encuentran afectados los
controladores para sistemas Unix y Microsoft Windows, y potencialmente todos
los dispositivos GPU de NVIDIA, exceptuando la familia Tegra.
NVIDIA ha publicado varias
actualizaciones de los controladores que solucionan este error. Se encuentran
disponibles para su descarga desde la página oficial de NVIDIA y son las
siguientes:
Para Unix:
Release 304.128
Release 340.93
Release 352.41
Para Microsoft Windows:
Release 353.82
Release 341.81
Más información:
CVE-2015-5950 Memory corruption due to an
unsanitized pointer in the
NVIDIA display driver
Juan José Ruiz
No hay comentarios:
Publicar un comentario