Le nombre est conséquent et paraît inhabituel. Nvidia a publié des correctifs pour une trentaine (29 pour être exact) de failles découvertes dans son pilote GPU. Au sein de ces vulnérabilités, 10 sont considérées comme critiques. Ces dernières peuvent entraîner de l’exécution de code à distance, d’altérer ou de voler des données, voire de prendre le contrôle du terminal.
Nvidia ne publie pas beaucoup d’informations techniques sur les failles pour s'assurer que les clients puissent corriger leurs systèmes avant que des pirates ne trouvent à exploiter ces vulnérabilités. La plus grave, connue sous le nom de CVE-2022-34669, affecte la version Windows du pilote d'affichage des GPU et a reçu un score CVSS de 8,8. « Un utilisateur sans privilège peut accéder ou modifier des fichiers systèmes ou d’autres fichiers critiques pour l’application », peut-on lire sur l’avis de la firme.
D'autres failles critiques
Une autre faille critique (CVE-2022-34671) affecte aussi la version Windows et cible le mode utilisateur du pilote. Elle obtient un score de gravité de 8,5. Un utilisateur sans privilège peut provoquer une écriture hors limites, conduisant également à une exécution de code, un déni de service, une élévation de privilèges, une divulgation d'informations ou une altération de données, selon Nvidia.
Quatre failles affichent un score de gravité de 7,8. Il s’agit des vulnérabilités CVE-2022-34672 (concernant le panneau de configuration de Windows), CVE-2022-34670 (ciblant le gestionnaire du mode Kernel du pilote d'affichage GPU pour Linux), CVE-2022-42260 (visant Linux aussi avec une mauvaise conservation des permissions dans le fichier de configuration D-Bus) et enfin CVE-2022-42261 (une faille dans le logiciel de gestion des GPU virtuels). Les 29 bogues détaillés dans le bulletin de sécurité affectent plusieurs produits Nvidia : GeForce, Studio, Nvidia RTX, Quadro, NVS, et Tesla fonctionnant sur des systèmes Windows. Plus GeForce, Nvidia RTX, Quadro, NVS et Tesla sur les équipements basés sur Linux.
Commentaire