Nvidia vừa phát hành bản cập nhật bảo mật khẩn cấp cho driver GPU, nhằm khắc phục nhiều lỗ hổng bảo mật nghiêm trọng có thể khiến người dùng gặp rủi ro về an ninh. Bản vá toàn diện này giải quyết tám lỗ hổng bảo mật quan trọng ảnh hưởng đến cả hệ thống Windows và Linux.
Tổng quan về các lỗ hổng bảo mật
Lỗ hổng nghiêm trọng nhất, được xác định là CVE-2024-0126, có điểm đánh giá mức độ nghiêm trọng cao 8.2. Các lỗ hổng còn lại cũng không kém phần nguy hiểm, với sáu lỗ hổng được đánh giá ở mức 7.8 và một lỗ hổng ở mức 7.1. Những lỗ hổng bảo mật này có thể cho phép tin tặc thực thi mã độc trái phép, nâng cao đặc quyền, can thiệp vào dữ liệu và có khả năng gây ra các cuộc tấn công từ chối dịch vụ trên toàn hệ thống.
Ảnh hưởng đến Windows và Linux
Năm trong số các lỗ hổng được phát hiện nhắm vào hệ thống Windows thông qua các lỗ hổng ở lớp người dùng, có khả năng cho phép kẻ tấn công thực hiện đọc vượt giới hạn và thực thi mã độc. Một lỗ hổng đáng lo ngại đặc biệt ảnh hưởng đến cả hệ thống Windows và Linux, cho phép những kẻ tấn công có đặc quyền nâng cao quyền hạn trong môi trường ứng dụng.
Lỗ hổng phần mềm vGPU
Hai lỗ hổng riêng biệt đã được xác định trong phần mềm vGPU của Nvidia. Lỗ hổng nghiêm trọng hơn liên quan đến driver kernel GPU, nơi việc xác thực đầu vào không đúng cách có thể làm tổn hại đến kernel của hệ điều hành khách. Lỗ hổng thứ hai ảnh hưởng đến Virtual GPU Manager, có khả năng cho phép truy cập trái phép vào tài nguyên hệ thống toàn cục vượt ra ngoài giới hạn cho phép của phần mềm vGPU.
Yêu cầu hành động khẩn cấp
Mặc dù hiện tại chưa có báo cáo về việc các lỗ hổng này bị khai thác trong thực tế, nhưng với mức độ nghiêm trọng cao, việc cập nhật ngay lập tức là cực kỳ quan trọng đối với tất cả người dùng GPU Nvidia. Người dùng có thể tải các bản vá bảo mật mới nhất thông qua trang Driver Downloads chính thức của Nvidia, trong khi các bản cập nhật phần mềm vGPU và Cloud Gaming có sẵn thông qua Licensing Portal.
Tác động đến hệ thống cũ
Các tổ chức và người dùng đang sử dụng driver GPU Nvidia cũ vì lý do tương thích có thể gặp thách thức với bản cập nhật bắt buộc này. Tuy nhiên, với mức độ nghiêm trọng của các lỗ hổng bảo mật này, đặc biệt là đối với các hệ thống xử lý thông tin nhạy cảm, lợi ích của việc cập nhật vượt xa những lo ngại về tính tương thích.