NVIDIA hat ein Software-Sicherheitsupdate für den NVIDIA GPU Display-Treiber veröffentlicht. Dieses Update behebt Probleme, die zu Denial-of-Service, Eskalation von Privilegien, Codeausführung oder Offenlegung von Informationen führen können. Um Ihr System zu schützen, sollten Sie dieses Software-Update über NVIDIA Driver Downloads herunterladen und installieren.
Gehen Sie zu NVIDIA Produktsicherheit.
DETAILS
In diesem Abschnitt werden die potenziellen Auswirkungen zusammengefasst, die dieses Sicherheitsupdate behebt. Die Beschreibungen verwenden CWE™, und die Basisbewertungen und Vektoren verwenden CVSS V3-Standards.
| CVE | Description | Base Score | Vector |
|---|---|---|---|
| CVE‑2019‑5675 | Der NVIDIA Windows GPU Display Driver enthält eine Schwachstelle im Kernel Mode Layer (nvlddmkm.sys) Handler für DxgkDdiEscape, bei der das Produkt gemeinsam genutzte Daten, wie z. B. statische Variablen, nicht ordnungsgemäß über Threads hinweg synchronisiert, was zu undefiniertem Verhalten und unvorhersehbaren Datenänderungen führen kann. | 7.7 | AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:H |
| CVE‑2019‑5676 | Die NVIDIA Windows GPU Display Driver Installationssoftware enthält eine Schwachstelle, durch die Windows System-DLLs fälschlicherweise geladen werden, ohne den Pfad oder die Signatur zu überprüfen (auch bekannt als Binary Planting oder DLL Preloading Attacke), was zu einer Eskalation der Privilegien durch Codeausführung führt. | 7.2 | AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H |
| CVE‑2019‑5677 | Der NVIDIA Windows GPU Display Driver enthält eine Schwachstelle im Kernel Mode Layer (nvlddmkm.sys) Handler für DeviceIoControl, bei der die Software aus einem Puffer liest, indem sie Pufferzugriffsmechanismen wie Indizes oder Zeiger verwendet, die auf Speicherstellen nach dem Zielpuffer verweisen, was zu einem Denial-of-Service führen kann. | 5.6 |
Die NVIDIA-Risikobewertung basiert auf einem Durchschnittswert für eine Reihe von installierten Systemen und stellt möglicherweise nicht das tatsächliche Risiko Ihrer lokalen Installation dar. NVIDIA empfiehlt, einen Sicherheits- oder IT-Experten zu Rate zu ziehen, um das Risiko für Ihre spezielle Konfiguration zu bewerten.
SICHERHEITS-UPDATES
In der folgenden Tabelle sind die betroffenen NVIDIA Softwareprodukte, die betroffenen Versionen und die aktualisierten Versionen, die dieses Sicherheitsupdate enthalten, aufgeführt. Laden Sie die Updates von der Seite NVIDIA Treiber-Downloads herunter.
WINDOWS
| CVE | Software Produkt | Betriebssystem | Betroffene Versionen | Aktualisierte Version |
|---|---|---|---|---|
| CVE‑2019‑5675 CVE‑2019‑5676 CVE‑2019‑5677 | GeForce | Windows | All R430 versions prior to 430.64 | 430.64 |
| CVE‑2019‑5675 CVE‑2019‑5676 CVE‑2019‑5677 | Quadro, NVS | Windows | All R430 versions prior to 430.64 | 430.64 |
| All R418 versions prior to 425.51 | 425.51 | |||
| All R410 versions prior to 412.36 | 412.36 | |||
| CVE‑2019‑5666 CVE‑2019‑5675 CVE‑2019‑5677 | Quadro, NVS | Windows | All R390 versions prior to 392.53 |
392.53
|
| CVE‑2019‑5675 CVE‑2019‑5676 CVE‑2019‑5677 | Tesla | Windows | All R418 versions prior to 425.25 | 425.25 |
| All R410 versions prior to 412.36 | 412.36 |
Notes:
- Neben den oben aufgeführten aktualisierten Versionen enthalten auch die Windows-Treiberversionen 430.23, 425.25 und 422.02, die von Computerhardwareherstellern bereitgestellt werden, das Sicherheitsupdate.
- Wenn Sie eine nicht unterstützte Version oder einen früheren nicht unterstützten Zweig verwenden, aktualisieren Sie auf die neueste unterstützte Version. Informationen zu Produkten, die nicht mehr unterstützt werden, finden Sie auf den EOL-Seiten für ältere Windows-GPU-Versionen und ältere Unix-GPU-Versionen, oder wenden Sie sich an den NVIDIA-Support.
- Die obige Tabelle ist möglicherweise keine vollständige Liste aller betroffenen Versionen oder Zweige und kann aktualisiert werden, sobald weitere Informationen verfügbar sind.
- Die Versionen des R390-Treiberzweigs enthalten Updates für CVE-2019-5666, die zuvor im Security Bulletin bekannt gegeben wurden: NVIDIA GPU Display Driver - Februar 2019.
CVE-2019-5676 - Wenn der GPU-Treiber unter Windows 7 installiert ist, muss Microsoft KB2533623 als Voraussetzung installiert werden, um dieses CVE zu beheben. Dieses CVE betrifft nicht die von Ihrem Hardwarehersteller bereitgestellten Treiberpakete und gilt nur für Treiberpakete, die von der öffentlichen Webseite NVIDIA Driver Downloads heruntergeladen werden.
MITIGATIONS
None. See Security Updates for the versions to install.
DANKSAGUNGEN
CVE-2019-5676: NVIDIA thanks multiple reporters for reporting this issue: Kushal Arvind Shah of Fortinet's FortiGuard Labs; Łukasz 'zaeek'; Yasin Soliman; Marius Gabriel Mihai; and Stefan Kanthak.
DIE AKTUELLSTEN INFORMATIONEN ZUR PRODUKTSICHERHEIT ERHALTEN
Besuchen Sie die NVIDIA-Produktsicherheitsseite, um
- Abonnieren Sie die Benachrichtigungen über Sicherheitsbulletins
- Sehen Sie sich die aktuelle Liste der NVIDIA Security Bulletins an
- Melden Sie eine potenzielle Sicherheitslücke in einem von NVIDIA unterstützten Produkt
- Erfahren Sie mehr über den Schwachstellen-Management-Prozess des NVIDIA Product Security Incident Response Teams (PSIRT)
REVISIONSGESCHICHTE
| Revision | Datum | Beschreibung |
|---|---|---|
| 4.0 | May 30, 2019 | Die Verfügbarkeit des Quadro- und NVS-Treiberzweigs R390 für das Windows-Betriebssystem wurde aktualisiert. |
| 3.0 | May 24, 2019 | Die Verfügbarkeit von Quadro-, NVS- und Tesla-Treibern (R390) für das Windows-Betriebssystem wurde aktualisiert. |
| 2.0 | May 14, 2019 | Die Verfügbarkeit von Quadro-, NVS- und Tesla-Treibern (R410) für das Windows-Betriebssystem wurde aktualisiert. |
| 1.0 | May 09, 2019 | Erste Veröffentlichung |
SUPPORT
Wenn Sie Fragen zu diesem Sicherheitsbulletin haben, wenden Sie sich an den NVIDIA Support.
HÄUFIG GESTELLTE FRAGEN (FAQS)
How do I determine which NVIDIA display driver version is currently installed on my PC?
Haftungsausschluss
ALLE NVIDIA-INFORMATIONEN, DESIGNSPEZIFIKATIONEN, REFERENZKARTEN, DATEIEN, ZEICHNUNGEN, DIAGNOSEN, LISTEN UND ANDERE DOKUMENTE (ZUSAMMEN UND EINZELN ALS "MATERIALIEN" BEZEICHNET) WERDEN IN DER VORLIEGENDEN FORM BEREITGESTELLT. NVIDIA ÜBERNIMMT KEINE AUSDRÜCKLICHEN, STILLSCHWEIGENDEN, GESETZLICHEN ODER SONSTIGEN GARANTIEN IN BEZUG AUF DIE MATERIALIEN, UND ALLE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, ZUSICHERUNGEN UND GARANTIEN, EINSCHLIESSLICH ALLER STILLSCHWEIGENDEN GARANTIEN ODER BEDINGUNGEN IN BEZUG AUF DAS EIGENTUM, DIE MARKTGÄNGIGKEIT, DIE ZUFRIEDENSTELLENDE QUALITÄT, DIE EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DIE NICHTVERLETZUNG VON RECHTEN, WERDEN HIERMIT IM GRÖSSTMÖGLICHEN GESETZLICH ZULÄSSIGEN UMFANG AUSGESCHLOSSEN.
Die Informationen werden zum Zeitpunkt ihrer Bereitstellung als korrekt und zuverlässig erachtet. Die NVIDIA Corporation übernimmt jedoch keine Verantwortung für die Folgen der Nutzung dieser Informationen oder für die Verletzung von Patenten oder anderen Rechten Dritter, die sich aus der Nutzung dieser Informationen ergeben können. Es wird weder stillschweigend noch anderweitig eine Lizenz im Rahmen eines Patents oder von Patentrechten der NVIDIA Corporation gewährt. Die in dieser Publikation genannten Spezifikationen können ohne vorherige Ankündigung geändert werden. Diese Publikation ersetzt alle zuvor bereitgestellten Informationen. Produkte der NVIDIA Corporation dürfen ohne ausdrückliche schriftliche Genehmigung der NVIDIA Corporation nicht als kritische Komponenten in lebenserhaltenden Geräten oder Systemen verwendet werden.