CSIRT Panamá Aviso 2015-07- Actualizaciones de Seguridad para Controladores de Tarjetas Graficas Nvidia
Gravedad: Alta
Fecha de publicación: Septiembre 28, 2015
Fecha de modificación: Septiembre 28, 2015
Última revisión: Revisión A.
Fuente: Boletín de Seguridad de Nvidia
Sistemas Afectados
Windows
Linux
I. Descripción
Una vulnerabilidad ha sido encontrado en el controlador de NVIDIA que se podría utilizar para permitir que un usuario local, no privilegiado para corromper la memoria kernel.
Esto podría ser utilizado para obtener privilegios de root locales.
Un usuario local puede emitir un IOCTL especialmente diseñado para escribir un valor entero de 32 bits almacenado en el controlador del núcleo a una posición de memoria especificada por el usuario,
lo que podría en el espacio de direcciones del kernel. El usuario tiene una capacidad limitada para influir en el valor del entero que está escrito.
Accion recomendada: actualizar a la version mas reciente del driver de nvidia.
II. Impacto
Complejidad de Acceso: Alta.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema.
III. Referencia a soluciones, herramientas e información
http://nvidia.custhelp.com/app/answers/detail/a_id/3763/~/cve-2015-5950-memory-corruption-due-to-an-unsanitized-pointer-in-the-nvidia
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)
mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn/QIEG1+TLokEuOhw+
Gq/lK/4NP9RzqpD57LcRUBiGgTmO/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i
pbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO/TuD52DH
KRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh
4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w
pqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo
Q1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL
CQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR/YX2
H3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU/uzi9LWnEcDscfFVKM/K0Jt
bjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV/LWag1yYTj5w
kkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b/WkAJg5FIg
U0MpPqUGAF5/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk
1XJIexpmkBYTxc+TOclhAp/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn/AB707JzN
Q80++q2kWQ==
=JUYg
—–END PGP PUBLIC KEY BLOCK—–