安全

产品信息

NVIDIA 产品安全

NVIDIA® 对于安全担忧的态度是非常认真的,致力于快速评估和解决这些问题。 一旦报告了安全担忧,NVIDIA 就会调拨合适的资源进行分析、验证以及提供解决问题的纠正措施。NVIDIA 携手安全情报机构以确保产品相关的隐患和纠正措施能够被恰当地公开。


向 NVIDIA 通知安全担忧


NVIDIA 产品和服务相关的安全担忧可以点此上报。所有提交的报告均会受到 NVIDIA 产品安全团队的监测,如果需要跟进的沟通,我们的安全专家将会联系你。

请注意: 通过此处所列的 Web 表格或 PGP 邮件机制无法获得产品技术支持。

如需 NVIDIA 产品的技术支持,敬请访问我们的 NVIDIA 技术支持网站
*请注意,NVIDIA 仅提供英文的技术支持。


安全通知


该列表包含了潜在安全隐患的简短描述。 通过更新至最新 NVIDIA 驱动程序即可解决这些问题。

简短描述 最初发布日期 最后更新日期
CVE-2016-2556:Kernel 驱动程序转义会放开访问受限功能的权限
此问题会增加恶意代码访问特权资源的风险。若该漏洞被利用,可能会导致权限升级(允许访问私人信息)或拒绝提供系统资源。
3/21/2016 3/21/2016
CVE-2016-2557:Kernel 驱动程序转义会放开内存访问特权
此问题会增加恶意代码访问特权资源的风险。若该漏洞被利用,可能会导致恶意访问未初始化的或越界的内存,从而引发信息泄露、损毁或拒绝服务,并且可能会使权限升级。
3/21/2016 3/21/2016
CVE-2016-2558:Kernel 驱动程序转义允许使用不可信的指针
此问题会增加恶意代码访问特权资源的风险。若该漏洞被利用,可能会导致恶意访问未初始化的或越界的内存,从而引发信息泄露、损毁或拒绝服务,并且可能会使权限升级。
3/21/2016 3/21/2016
Google Android Stagefright 多媒体漏洞
Google Android
操作系统的多媒体引擎(即 Stagefright 或 libstagefright)受多个漏洞影响,可能会使远程攻击者造成拒绝服务或使用较高权限执行任意代码。
11/20/2015 11/20/2015
CVE-2015-7866: NVIDIA 控制面板未加引号的路径
Windows 中的 NVIDIA 控制面板受未加引号的路径漏洞影响,可让. A本地攻击者获得较高的权限。
11/18/2015 11/18/2015
CVE-2015-7865: 3D 立体驱动程序服务任意运行密钥创建
3D Vision 服务 nvSCPAPISvr.exe 创建的命名管道可 提升权限。在 Windows 域环境中,如果攻击者在一台已加入域的计算机上拥有有效的用户帐户,还可利用该漏洞。
11/18/2015 11/18/2015
CVE-2015-7869: 用户模式输入未净化
此报告与 NVIDIA GPU 显卡驱动程序的 NVAPI 支持层中的安全漏洞有关。此报告也详细说明了底层内核模式驱动程序中存在的整数溢出问题报告。
11/18/2015 11/18/2015
MICROSOFT DETOURS 安全更新
Detours 实施中的问题可能会降低某些操作系统安全功能的有效性。
NVIDIA 重新发布了包含当前版本内容的新版 Detours 库,以解决此问题并更新 NVIDIA 系统,使其适应最新的 Microsoft Detours 补丁级别。
11/18/2015 11/18/2015
CVE-2015-5950 NVIDIA 显卡驱动中的未净化指针导致内存损坏
NVIDIA 驱动中发现一个漏洞,可以让本地非授权用户破坏内核内存,并从而获得本地控制 (root) 权限。
09/25/2015 09/25/2015
CVE-2015-3625:通过 NVIDIA FreeBSD 内核驱动程序中未净化的指针间接引用进行的权限提升
FreeBSD 的 NVIDIA GPU 内核级驱动程序在间接引用来自用户空间的指针之前,没有正确地对其进行净化。
06/19/2015 06/19/2015
CVE-2015-1170: Windows 权限模拟检查
在某些情况下,NVIDIA 显示器驱动程序的内核管理员检查功能会错误地确认本地客户端的模拟级别。
03/02/2015 03/02/2015
CVE-2014-5332: TEGRA LINUX 内核 NVMAP 安全漏洞
NVMap 组件中短暂的释放后使用 (Use-after-free) 安全漏洞让固定的单一数据位能够清除回收内存结构中的数据。 想要利用这一安全漏洞,袭击者需要利用从 FD 向句柄结构指针(一个时间点)和句柄结构引用增量(另一个时间点)的转换过程中所存在的竞态条件问题,并迫使句柄内存结构在内核进程中被回收。内核进程中固定的数据位会被袭击者利用。
01/15/2015 01/15/2015
CVE-2014-8298: GLX-INDIRECT (Including CVE-2014-8093, CVE-2014-8098)
The GLX indirect rendering support supplied on NVIDIA products is subject to the recently disclosed X.Org vulnerabilities (CVE-2014-8093, CVE-2014-8098) as well as internally identified vulnerabilities (CVE-2014-8298).
12/09/2014 12/11/2014
CVE-2014-0224: GameStream OpenSSL 安全漏洞
GeForce Experience 2.1.1 与 SHIELD Hub 3.2.18713345 之前版本的 GameStream 组件中所包含的 OpenSSL 库可能会受最近公布的 OpenSSL SSL/TLS MITM 安全漏洞 (CVE-2014-0224) 的影响。 因此,成功利用这一安全漏洞的攻击者有可能盗取机密的 GameStream 会话数据(包括用户密码)、修改会话数据。
09/09/2014 09/09/2014
CVE-2013-5987: 无特权的 GPU 访问隐患
有个 NVIDIA 图形驱动程序 Bug 让无特权的用户模式软件不当地访问 GPU。成功利用这一隐患的攻击者可以控制受到侵袭的系统。
12/2/2013 12/2/2013
CVE-2013-0131: NVIDIA UNIX GPU 驱动程序 ARGB 光标缓冲区在「NoScanout」模式中溢出。
当针对 X Window System 的 NVIDIA 驱动程序以「NoScanout」模式工作并且 X 客户端安装了大于预期尺寸 (64x64 或 256x256, 视驱动程序版本而定) 的 ARGB 光标时,该驱动程序会溢出缓冲区。 这会导致拒绝服务 (例如 X 服务器分段错误) 或被用来实现任意代码的执行。 因为 X 服务器像诸多配置中的 Setuid Root 一样运行,攻击者可能会利用这些配置中的这一隐患来取得 Root 权限。
4/2/2013 4/2/2013
CVE-2013-0109 NVIDIA 显示器驱动程序服务隐患
由于在 NVIDIA 驱动程序中发现的一个问题,恶意黑客通过强制例外和重写存储器,有可能提升特权等级以获取系统的管理控制权限。 这一隐患与 NVIDIA 显示器驱动程序服务相关,可影响从 173 版本开始的 NVIDIA Windows 操作系统驱动程序 (Windows XP/Windows Vista/Windows 7/Windows 8 - 32 和 64位)。
2/22/2013 2/22/2013
CVE-2013-0110 NVIDIA Stereoscopic 3D 驱动程序隐患
NVIDIA 现已核实了 NVIDIA Stereoscopic 3D 驱动程序服务 (nvSCPAPISvr.exe) 中的一个问题,该问题让恶意黑客有可能通过在受影响服务的路径中插入一个可执行文件,从而在本地机器上提升特权等级。 找出的具体问题是,该服务使用了一个引文结束的服务路径,至少包含了一个空格。
2/22/2013 2/22/2013
CVE-2013-0111 NVIDIA 更新服务后台程序隐患
NVIDIA 现已核实了 NVIDIA 更新服务后台程序 (daemonu.exe) 中的一个问题,该问题让恶意黑客有可能通过在受影响服务的路径中插入一个可执行文件,从而在本地机器上提升特权等级。 找出的具体问题是,该服务使用了一个引文结束的服务路径,至少包含了一个空格。
2/22/2013 2/22/2013
CVE-2012-4225 NVIDIA UNIX 图形驱动程序隐患
295.71 之前和 304.32 之前的 NVIDIA UNIX 图形驱动程序让本地用户能够通过使用 /dev/nvidia0 修改 VGA 窗口,写入任意物理存储器位置并获取特权。
8/2/2012 2/20/2013
NVIDIA UNIX 驱动程序中的安全隐患 CVE-2012-0946
该隐患让那些拥有 GPU 设备节点读写存取权限的攻击者能够重新配置 GPU 以获取存取任意系统内存的权限。
4/4/2012 8/6/2012
CVE-2006-5379 NVIDIA UNIX 图形驱动程序隐患
针对 Linux v8774 与 v8762 的 NVIDIA 二进制图形驱动程序 (binary blob driver) 让本地和远程的攻击者能够通过字符字型中的巨大宽度值来执行任意代码,该宽度值可用于重写任意存储器位置。
10/18/2006 2/20/2013