- NVIDIA ha publicado una actualización de seguridad de software para NVIDIA GPU Display Driver con el fin de solucionar los problemas que se exponen en este boletín.
Para proteger su sistema, descargue e instale esta actualización de software a través de la página de descargas de controladores de NVIDIA o, en el caso de las actualizaciones del software vGPU y Cloud Gaming, a través del portal de licencias de NVIDIA.
Vaya a Seguridad de Productos NVIDIA
DETALLES
Esta sección proporciona un resumen de las vulnerabilidades potenciales que aborda esta actualización de seguridad y su impacto. Las descripciones utilizan CWE™,, y las puntuaciones base y los vectores utilizan los estándares CVSS v3.1 .
NVIDIA GPU DISPLAY DRIVER
| CVE ID | Descripción | Vector | Puntuación base | Gravedad | CWE | Impacto |
|---|---|---|---|---|---|---|
| CVE‑2024‑0071 | NVIDIA GPU Display Driver para Windows contiene una vulnerabilidad en la capa de modo de usuario, donde un usuario normal sin privilegios puede causar una escritura fuera de los límites. Un exploit exitoso de esta vulnerabilidad puede conducir a la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos. | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | 7.8 | Alta | CWE‑125 | Ejecución de código, denegación de servicio, escalada de privilegios, revelación de información, manipulación de datos |
| CVE‑2024‑0073 | NVIDIA GPU Display Driver for Windows contiene una vulnerabilidad en la capa del modo kernel cuando el controlador realiza una operación con un nivel de privilegios superior al nivel mínimo requerido. Una explotación exitosa de esta vulnerabilidad puede conducir a la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos. | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | 7.8 | Alta | CWE‑250 | Ejecución de código, denegación de servicio, escalada de privilegios, revelación de información, manipulación de datos |
| CVE‑2024‑0074 | NVIDIA GPU Display Driver para Linux contiene una vulnerabilidad por la que un atacante puede acceder a una ubicación de memoria después del final del búfer. Un exploit exitoso de esta vulnerabilidad puede conducir a la denegación de servicio y la manipulación de datos. | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H | 7.1 | Alta | CWE‑788 | Negación de servicio, manipulación de datos |
| CVE‑2024‑0078 | NVIDIA GPU Display Driver para Windows y Linux contiene una vulnerabilidad en la capa de modo kernel, por la que un usuario en un invitado puede provocar una desviación del puntero NULL en el host, lo que puede provocar una denegación de servicio. | AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H | 6.5 | Media | CWE‑476 | Denegación de servicio |
| CVE‑2024‑0075 | NVIDIA GPU Display Driver para Windows y Linux contiene una vulnerabilidad por la que un usuario puede provocar una desviación del puntero NULL accediendo a parámetros pasados cuya validez no se ha comprobado. El aprovechamiento de esta vulnerabilidad puede provocar una denegación de servicio y la divulgación de información limitada. | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H | 6.1 | Media | CWE-476 | Denegación de servicio, divulgación limitada de información |
| CVE‑2022‑42265 | NVIDIA GPU Display Driver para Windows y Linux contiene una vulnerabilidad en el manejador de la capa de modo del kernel, donde un usuario normal sin privilegios puede causar un desbordamiento de enteros, lo que puede conducir a la denegación de servicio, divulgación de información y manipulación de datos. | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L | 5.3 | Media | CWE‑190 | Denegación de servicio, divulgación de información y manipulación de datos |
NVIDIA VGPU SOFTWARE
| CVE ID | Descripción | Vector | Puntuación Base | Gravedad | CWE | Impacto |
|---|---|---|---|---|---|---|
| CVE‑2024‑0077 | NVIDIA Virtual GPU Manager contiene una vulnerabilidad en el plugin vGPU, que permite a un SO invitado asignar recursos para los que el SO invitado no está autorizado. Un exploit exitoso de esta vulnerabilidad puede conducir a la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos. | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | 7.8 | Alta | CWE‑285 | Ejecución de código, denegación de servicio, escalada de privilegios, revelación de información, manipulación de datos |
| CVE‑024‑0079 | NVIDIA GPU Display Driver para Windows y Linux contiene una vulnerabilidad en la capa de modo kernel, donde un usuario en una máquina virtual huésped puede causar una desviación de puntero NULL en el host. Una explotación exitosa de esta vulnerabilidad puede conducir a la denegación de servicio. | AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H | 6.5 | Media | CWE‑476 | Denegación de servicio |
La evaluación de riesgos de NVIDIA se basa en un promedio del riesgo en un conjunto diverso de sistemas instalados y puede no representar el verdadero riesgo para su instalación local. NVIDIA recomienda consultar a un profesional de seguridad o TI para evaluar el riesgo de su configuración específica.
ACTUALIZACIONES DE SEGURIDAD PARA EL CONTROLADOR DE PANTALLA GPU DE NVIDIA
CVE IDS EN CADA RAMA DEL CONTROLADOR DE WINDOWS
La siguiente tabla enumera los ID de CVE a los que se refiere la actualización en cada rama de controladores de Windows.
| Rama de controladores de Windows | CVE ID abordados |
|---|---|
| R550, R545, R535 | CVE‑2024‑0071, CVE‑2024‑0073, CVE‑2024‑0078, CVE‑2024‑0075, |
| R470 | CVE‑2024‑0071, CVE‑2024‑0073, CVE‑2024‑0078, CVE‑2022‑42265 |
ACTUALIZACIONES DE SEGURIDAD PARA EL CONTROLADOR DE PANTALLA DE WINDOWS DE LA GPU NVIDIA
En la siguiente tabla se enumeran los productos de software NVIDIA afectados, las versiones del controlador de Windows afectadas y la versión actualizada disponible en nvidia.com que incluye esta actualización de seguridad. Descargue las actualizaciones desde la página de descargas de controladores de NVIDIA.
| Producto de software | Sistema operativo | Controlador | Versiones de controladores afectadas | Versión actualizada del controlador |
|---|---|---|---|---|
| GeForce | Linux | R550 | Todas las versiones de controlador anteriores a 550.54.14 | 550.54.14 |
| R535 | Todas las versiones de controlador anteriores a 535.161.07 | 535.161.07 | ||
| R470 | Todas las versiones de controlador anteriores a 470.239.06 | 470.239.06 | ||
| NVIDIA RTX, Quadro, NVS | Linux | R550 | Todas las versiones de controlador anteriores a 550.54.14 | 550.54.14 |
| R535 | Todas las versiones de controlador anteriores a 535.161.07 | 535.161.07 | ||
| R470 | Todas las versiones de controlador anteriores a 470.239.06 | 470.239.06 | ||
| Tesla | Linux | R550 | Todas las versiones de controlador anteriores a 550.54.14 | 550.54.14 |
| R535 | Todas las versiones de controlador anteriores a 535.161.07 | 535.161.07 | ||
| R470 | Todas las versiones de controlador anteriores a 470.239.06 | 470.239.06 |
NOTAS
- Es posible que el proveedor de hardware de su ordenador le proporcione versiones del controlador de pantalla de la GPU de Windows como 552.34, 546.59, 538.18 y 474.80, que también contienen las actualizaciones de seguridad.
- Es posible que las tablas anteriores no constituyan una lista exhaustiva de todas las versiones o versiones de rama compatibles afectadas y que se actualicen a medida que se disponga de más información.
- Las versiones anteriores de las ramas de software compatibles con estos productos también pueden verse afectadas. Si está utilizando una versión anterior de la rama para la que no aparece una versión de actualización en la lista anterior, actualice a la última versión de la rama.
ACTUALIZACIONES DE SEGURIDAD PARA EL SOFTWARE VGPU DE NVIDIA
IDENTIFICADORES DE CVE ABORDADOS EN CADA RAMA DE CONTROLADORES VGPU DE WINDOWS
La siguiente tabla enumera los ID de CVE a los que hace referencia la actualización en cada rama de controladores vGPU de Windows.
| Rama de controladores Windows | CVE ID abordados |
|---|---|
| R535 | CVE‑2024‑0071, CVE‑2024‑0073, CVE‑2024‑0074, CVE‑2024‑0075, CVE‑2024‑0078 |
| R470 | CVE‑2024‑0071, CVE‑2024‑0073, CVE‑2024‑0074, CVE‑2024‑0078, CVE‑2022‑42265 |
CVE IDS ABORDADOS EN CADA RAMA DE CONTROLADORES VGPU DE LINUX
La siguiente tabla enumera los ID de CVE abordados por la actualización en cada rama de controladores vGPU de Linux.
| Rama de controladores LINUX | CVE ID abordados |
|---|---|
| R535 | CVE‑2024‑0074, CVE‑2024‑0075, CVE‑2024‑0078 |
| R470 | CVE‑2024‑0074, CVE‑2024‑0078, CVE‑2022‑42265 |
CVE IDS ABORDADOS EN CADA RAMA DEL CONTROLADOR VGPU MANAGER
La siguiente tabla enumera los ID de CVE a los que hace referencia la actualización en cada rama de controladores de vGPU Manager.
| Administrador de vGPU Rama de controladores | CVE ID abordados |
|---|---|
| R535 | CVE‑2024‑0073, CVE‑2024‑0074, CVE‑2024‑0075, CVE‑2024‑0077, CVE‑2024‑0078, CVE‑2024‑0079 |
| R470 | CVE‑2024‑0073, CVE‑2024‑0074, CVE‑2024‑0077, CVE‑2024‑0078, CVE‑2022‑4226 |
COMPONENTES AFECTADOS, VERSIONES AFECTADAS Y VERSIONES ACTUALIZADAS
En la siguiente tabla se enumeran los componentes de software de NVIDIA vGPU afectados, las versiones afectadas y la versión actualizada que incluye esta actualización de seguridad.
| CVE ID abordados | Componente de software vGPU | Sistema Operativo | Versiones afectadas | Versión actualizada | ||
|---|---|---|---|---|---|---|
| vGPU Software | Driver | vGPU Software | Driver | |||
| CVE‑2024‑0071 CVE‑2024‑0073 CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0078 CVE‑2022‑42265 |
Guest driver | Windows | Todas las versiones, incluidas 16.3 | 538.15 | 16.4 | 538.33 |
| Todas las versiones, incluidas 13.9 | 474.64 | 13.10 | 474.82 | |||
| CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0078 CVE-2022-42265 |
Guest driver | Linux | Todas las versiones, incluidas 16.3 | 535.154.05 | 16.4 | 535.161.07 |
| Todas las versiones, incluidas 13.9 | 470.223.02 | 13.10 | 470.239.06 | |||
| CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0077 CVE‑2024‑0078 CVE‑2024‑0079 CVE‑2022‑42265 |
Virtual GPU Manager | Citrix Hypervisor, VMware vSphere, Red Hat Enterprise Linux KVM, Ubuntu |
Todas las versiones, incluidas 16.3 | 535.154.02 | 16.4 | 535.161.05 |
| Todas las versiones, incluidas 13.9 | 470.223.02 | 13.10 | 470.239.01 | |||
| CVE‑2024‑0073 CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0077 CVE‑2024‑0078 CVE‑2024‑0079 CVE‑2022‑42265 |
Virtual GPU Manager | Azure Stack HCI | Todas las versiones, incluidas 16.3 | 538.15 | 16.4 | 538.33 |
Notas:
- La tabla anterior puede no ser una lista exhaustiva de todas las versiones o versiones de rama compatibles afectadas y puede actualizarse a medida que se disponga de más información.
- Es posible que también se vean afectadas versiones anteriores de software compatibles con estos productos. Si está utilizando una versión anterior para la que no aparece una versión de actualización, actualícela a la última versión.
ACTUALIZACIONES DE SEGURIDAD PARA NVIDIA CLOUD GAMING
IDENTIFICADORES DE CVE ABORDADOS EN CADA RAMA DE CONTROLADORES DE WINDOWS CLOUD GAMING
En la siguiente tabla se enumeran los ID de CVE abordados por la actualización en cada rama de controladores de Windows Cloud Gaming.
| Rama de controladores Windows | CVE ID abordados |
|---|---|
| R545 | CVE‑2024‑0071, CVE‑2024‑0074, CVE‑2024‑0075, CVE‑2024‑0078 |
IDENTIFICADORES DE CVE ABORDADOS EN CADA RAMA DE CONTROLADORES DE LINUX CLOUD GAMING
La siguiente tabla enumera los ID de CVE abordados por la actualización en cada rama de controladores de Linux Cloud Gaming.
| Rama de controladores Linux | CVE ID abordados |
|---|---|
| R545 | CVE‑2024‑0074, CVE‑2024‑0075, CVE‑2024‑0078 |
IDENTIFICADORES DE CVE ABORDADOS EN CADA RAMA DE CONTROLADORES DE CLOUD GAMING MANAGER
La siguiente tabla enumera los ID de CVE a los que se refiere la actualización en cada rama de controladores de Cloud Gaming Manager.
|
Gestor de juegos Subdivisión de Conductores |
CVE ID abordados |
|---|---|
| R545 | CVE‑2024‑0073, CVE‑2024‑0074, CVE‑2024‑0075, CVE‑2024‑0077, CVE‑2024‑0078, CVE‑2024‑0079 |
COMPONENTES AFECTADOS, VERSIONES AFECTADAS Y VERSIONES ACTUALIZADAS
En la siguiente tabla se enumeran los productos de software de NVIDIA afectados, las versiones afectadas y la versión actualizada que incluye esta actualización de seguridad.
| CVE ID abordados | Componente de juego en la nube | Sistema Operativo | Versiones Afectadas | Updated Version | ||
|---|---|---|---|---|---|---|
| Software de juego en la nube | Controlador | Software de juego en la nube | Controlador | |||
| CVE‑2024‑0071 CVE‑2024‑0073 CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0078 CVE‑2022‑422657 |
Controlador invitado | Windows | Todas las versiones hasta la de enero de 2024 inclusive | 546.65 |
|
551.61 |
| CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0078 CVE‑2022‑42265 |
Controlador invitado | Linux | Todas las versiones hasta la de enero de 2024 inclusive | 545.37.02 | Lanzamiento en febrero 2024 | 550.54.14 |
| CVE‑2024‑0074 CVE‑2024‑0075 CVE‑2024‑0077 CVE‑2024‑0078 CVE‑2024‑0079 CVE‑2022‑42265 |
Virtual GPU Manager | Red Hat Enterprise Linux KVM, VMware vSphere | Todas las versiones anteriores a la de enero de 2024 inclusive | 545.37.02 | Lanzamiento en febrero 2024 | 550.54.10 |
AGRADECIMIENTOS
NVIDIA agradece a las siguientes personas por reportar los problemas:
CVE-2024-0071: Piotr Bania - Cisco Talos
OBTENGA LA INFORMACIÓN MÁS ACTUALIZADA SOBRE LA SEGURIDAD DE LOS PRODUCTOS
Vaya a Seguridad de Productos NVIDIA para:
- Suscribirse a las notificaciones de boletines de seguridad
- Ver la lista actual de boletines de seguridad de NVIDIA
- Informar sobre un posible problema de seguridad en cualquier producto compatible con NVIDIA
- Más información sobre el proceso de gestión de vulnerabilidades seguido por el equipo de respuesta a incidentes de seguridad de productos (PSIRT) de NVIDIA
HISTORIAL DE REVISIONES
| Revision | Fecha | Descripcion |
|---|---|---|
| 1.0 | February 28, 2024 | Initial release |
SOPORTE
Si tiene alguna pregunta sobre este boletín de seguridad, póngase en contacto con NVIDIA Support.
PREGUNTAS MÁS FRECUENTES (FAQS)
Descargo de responsabilidad
TODA LA INFORMACIÓN, ESPECIFICACIONES DE DISEÑO, TARJETAS DE REFERENCIA, ARCHIVOS, DIBUJOS, DIAGNÓSTICOS, LISTAS Y OTROS DOCUMENTOS DE NVIDIA (EN CONJUNTO Y POR SEPARADO, "MATERIALES") SE PROPORCIONAN "TAL CUAL". NVIDIA NO OFRECE NINGUNA GARANTÍA, EXPRESA, IMPLÍCITA, LEGAL O DE OTRO TIPO CON RESPECTO A LOS MATERIALES, Y TODAS LAS CONDICIONES EXPRESAS O IMPLÍCITAS, REPRESENTACIONES Y GARANTÍAS, INCLUYENDO CUALQUIER GARANTÍA IMPLÍCITA O CONDICIÓN DE TÍTULO, COMERCIABILIDAD, CALIDAD SATISFACTORIA, IDONEIDAD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN, QUEDAN EXCLUIDAS EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY.
La información se considera exacta y fiable en el momento en que se proporciona. No obstante, NVIDIA Corporation no asume responsabilidad alguna por las consecuencias del uso de dicha información ni por cualquier infracción de patentes u otros derechos de terceros que pueda resultar de su utilización. No se concede ninguna licencia implícita o de otro tipo bajo ninguna patente o derechos de patente de NVIDIA Corporation. Las especificaciones mencionadas en esta publicación están sujetas a cambios sin previo aviso. Esta publicación sustituye y reemplaza toda la información suministrada anteriormente. Los productos de NVIDIA Corporation no están autorizados para su uso como componentes críticos en dispositivos o sistemas de soporte vital sin la aprobación expresa y por escrito de NVIDIA Corporation.