Seguridad

Informacion Del Producto

Seguridad de producto de NVIDIA

NVIDIA asume seriamente las preocupaciones por la seguridad y trabaja para evaluarlas y resolverlas rápidamente. Una vez que se informa sobre un tema de preocupación referente a la seguridad, NVIDIA compromete los recursos adecuados para analizar, validar y proporcionar medidas correctivas que se encarguen del problema. NVIDIA trabaja con la comunidad de inteligencia de seguridad para garantizar que las vulnerabilidades relacionadas con un producto y las medidas correctivas se divulguen apropiadamente.


Notificación a NVIDIA de preocupaciones relacionadas con la seguridad


Las preocupaciones de seguridad relacionadas con un producto o servicio de NVIDIA se pueden informar aquí. Los equipos de seguridad de productos de NVIDIA supervisan todos los informes y, si es necesario enviar una comunicación de seguimiento, uno de nuestros especialistas en seguridad entrará en contacto con usted.

TOME EN CUENTA QUE: el soporte técnico de productos no está disponible por medio del formulario en la web o los mecanismos de correo electrónico de PGP enumerados aquí.

Para obtener soporte técnico para los productos de NVIDIA, visite nuestro sitio web de soporte de NVIDIA
* Tenga en cuenta que NVIDIA proporciona soporte técnico en Inglés solamente


Notificaciones de seguridad


Esta lista incluye descripciones breves de vulnerabilidades de seguridad potenciales. Tales problemas se resuelven al actualizarse a los más recientes controladores de NVIDIA.

Brief Subido originalmente Última actualización
Boletin de seguridad: NVIDIA GPU Display Driver contiene multiples vulnerabilidades en el kernel en modo de manejo de capas
CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324: Denegación de Servicio o posible Escalación de Privilegios.
CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320: Denegación de Servicio
CVE-2017-0317: Escalación de Privilegios
02/14/2017 02/14/2017
Boletín de seguridad: Una vulnerabilidad en NVIDIA Web Helper.exe afecta NVIDIA GeForce Experience (CVE-2016-8827) 12/14/2016 12/14/2016
El controlador para pantallas de GPU en Windows de NVIDIA contiene varias vulnerabilidades en el manipulador de la capa del modo kernel (nvlddmkm.sys) para DxgDdiEscape; además, el controlador para pantallas de GPU en Linux contiene una vulnerabilidad en la capa del modo kernel (nvidia.ko)
CVE-2016-8824, CVE-2016-8821: escalación de privilegios
CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: denegación de servicio o posible escalación de privilegios
CVE-2016-8826: denegación de servicio
12/14/2016 1/04/2017
NVIDIA Shield contiene varias vulnerabilidades en nvhost_job.c
CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: posible fallo del sistema
12/09/2016 12/09/2016
NVIDIA Shield contiene varias vulnerabilidades en Mediaserver y Kernel
CVE-2016-3847: flujo excesivo de escritura en montículo
CVE-2016-3815: lectura en pila del controlador de la longitud controlada por el usuario
CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: vulnerabilidad de elevación de privilegios
CVE-2016-3793: condición de raza use-after-free
CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: divulgación de información
11/30/2016 11/21/2016
El controlador para pantallas de GPU en Windows de NVIDIA contiene varias vulnerabilidades en el manipulador de la capa del modo kernel (nvlddmkm.sys) para DxgDdiEscape
CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818, y CVE-2016-8819: denegación del servicio o posible escalación de privilegios
CVE-2016-8820: denegación de servicio o divulgación de información
11/18/2016 1/04/2017
El controlador para pantallas de GPU en Linux no contiene varias comprobaciones de permiso y vulnerabilidades de validación impropias:
CVE-2016-7382 y CVE-2016-7389: escalación de privilegios
10/28/2016 1/04/2017
El controlador para pantallas de GPU en Windows de NVIDIA contiene varias vulnerabilidades en el manipulador de la capa del modo kernel (nvlddmkm.sys); además, NVIDIA GeForce Experience contiene una vulnerabilidad en la capa del modo kernel (nvstreamkms.sys)
El controlador para pantallas de GPU en Windows de NVIDIA contiene varias vulnerabilidades en el manipulador de la capa del modo kernel (nvlddmkm.sys):
CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: denegación de servicio o posible escalación de privilegios
CVE-2016-7382: escalación de privilegios
CVE-2016-7386: filtración de contenidos de la memoria del kernel al espacio del usuario mediante un búfer no inicializado
NVIDIA GeForce Experience contiene una vulnerabilidad en la capa del modo kernel (nvstreamkms.sys):
CVE-2016-8812: denegación de servicio o escalación de privilegios
10/28/2016 1/04/2017
Boletín de seguridad: Múltiples vulnerabilidades afectan a los sistemas basados en Windows con tarjetas Quadro, NVS y GeForce
CVE-2016-4959: Denegación de servicio de escritorio remoto
CVE-2016-3161, CVE-2016-5852: Vulnerabilidades de ruta de servicio sin comillas del complemento NVTray y GFE GameStream
CVE-2016-4960: Elevación de privilegios de NVStreamKMS.sys
CVE-2016-4961: Denegación de servicio de NVStreamKMS.sys de autenticación local
CVE-2016-5025: Vulnerabilidad de denegación de servicio de NVAPI
8/19/2016 8/19/2016
Vulnerabilidades en el controlador del kernel de Linux en dispositivos Tegra
Se encontraron vulnerabilidad en los controladores del kernel de los dispositivos NVIDIA Tegra que pueden permitir que un atacante local escale los privilegios o logre una ejecución arbitraria del código del kernel.
8/02/2016 8/02/2016
CVE-2016-2556: El cierre del controlador de kernel puede ocasionar un funcionamiento limitado.
Este problema puede aumentar el riesgo de que un código malicioso acceda a recursos privilegiados. La vulnerabilidad puede aprovecharse para lograr una posible escalación de privilegios, lo que puede ocasionar el acceso a información privada o causar un error en el mantenimiento de los recursos del sistema.
3/21/2016 3/21/2016
CVE-2016-2557: Acceso a sectores de memoria privilegiados por el cierre del controlador de kernel.
Este problema puede aumentar el riesgo de que un código malicioso acceda a recursos privilegiados. La vulnerabilidad puede aprovecharse para lograr una posible escalación de privilegios o el acceso a sectores de memoria sin inicializar o fuera de los límites, lo que provoca una divulgación de la información, fallos, un error en el mantenimiento.
3/21/2016 3/21/2016
CVE-2016-2558: El cierre del controlador de kernel permite un puntero desconocido.
Este problema puede aumentar el riesgo de que un código malicioso acceda a recursos privilegiados. La vulnerabilidad puede aprovecharse para lograr una posible escalación de privilegios o el acceso a sectores de memoria sin inicializar o fuera de los límites, lo que provoca una divulgación de la información, fallos, un error en el mantenimiento.
3/21/2016 3/21/2016
Vulnerabilidades multimedia de Google Android Stagefright
El motor multimedia del sistema operativo Google Android, conocido como Stagefright (o libstagefright), se ve afectado por varias vulnerabilidades que podrían permitir que el autor de un ataque remoto provoque una negación del servicio o ejecute código arbitrario con permisos elevados.
11/20/2015 11/20/2015
CVE-2015-7866: RUTA SIN ENTRECOMILLAR (UNQUOTED PATH) EN EL PANEL DE CONTROL DE NVIDIA
El panel de control de NVIDIA en Windows se ve afectado por una vulnerabilidad de ruta sin entrecomillar (unquoted path) que permite que el autor de un ataque local obtenga privilegios elevados.
11/18/2015 11/18/2015
CVE-2015-7865: CREACIÓN DE CLAVE DE EJECUCIÓN ARBITRARIA EN EL SERVICIO DE CONTROLADOR 3D ESTEREOSCÓPICO
El nvSCPAPISvr.exe del servicio 3D Vision crea una named pipe (también llamada "tubería nombrada" o FIFO) que puede permitir la elevación de privilegios. En entornos de Windows Domain, también es posible explotar la vulnerabilidad si el autor del ataque tiene una cuenta de usuario válida en una máquina unida al dominio.
11/18/2015 11/18/2015
CVE-2015-7869: Entrada sin saneamiento en el modo de usuario
Este aviso informa sobre una vulnerabilidad de seguridad en la capa de soporte de NVAPI de los controladores de gráficos de la GPU NVIDIA. Este informe también detalla un aviso relacionado con problemas de desbordamiento del entero en el controlador del modo de kernel subyacente.
11/18/2015 11/18/2015
ACTUALIZACIÓN DE SEGURIDAD EN MICROSOFT DETOURS
Un error en la implementación de Detours tiene el potencial de reducir la eficacia de algunos recursos de seguridad del sistema operativo.
NVIDIA está lanzando nuevamente una biblioteca de Detours con versiones actuales para resolver el problema y aportar sistemas actualizados de NVIDIA con el más reciente nivel de parche de Microsoft Detours.
11/18/2015 11/18/2015
CVE-2015-5053: mapeos de GPU en la memoria de ES de un dispositivo de terceros
La vulnerabilidad se podía explotar para que hiciera que la GPU accediera a la memoria de ES de un dispositivo de terceros después de la fase de eliminación de asignación. Esto puede generar una negación del servicio (y la obstrucción del dispositivo con solicitudes inválidas), o usarse para obtener acceso privilegiado al espacio de ES del dispositivo de terceros.
11/09/2015 11/09/2015
CVE-2015-5950: Corrupción de memoria debido a un cursor sin saneamiento en el controlador de pantalla NVIDIA.
Se encontró una vulnerabilidad en el controlador NVIDIA que podría usarse para permitir que un usuario local y sin privilegios dañe la memoria de kernel. Esto podría usarse para obtener privilegios de raíz locales.
09/25/2015 09/25/2015
CVE-2015-3625: Escalonamiento de privilegios mediante la eliminación de la referencia a puntero no saneado en el controlador de kernel NVIDIA FreeBSD
El controlador del nivel de kernel en la GPU NVIDIA para FreeBSD no sanea adecuadamente los punteros del espacio del usuario antes de eliminar su referencia.
06/19/2015 06/19/2015
NVIDIA Tegra Linux L4T Contiene un desbordamiento de búfer que afecta a la biblioteca glibc permitiendo la ejecución de código arbitrario
CVE-2015-0235: GHOST desbordamiento de pila en glibc
03/03/2015 01/11/2017
Vulnerabilidades en Bash afecta a NVIDIA Tegra Linux L4T
CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: Vulnerabilities in Bash referred to as “Shellshock.”
03/03/2015 02/03/2017
CVE-2015-1170: Suplantación de privilegios en Windows
La marca de verificación del administrador del kernel del Controlador de visualización de NVIDIA en algunos casos valida de forma inadecuada los niveles de suplantación del cliente local.
03/02/2015 03/02/2015
CVE-2014-5332: VULNERABILIDAD DE NVMAP EN KERNEL TEGRA LINUX
Una vulnerabilidad "use-after-free" momentánea en el componente NVMap permite que un único bit fijo borre datos en una estructura de memoria reciclada. Para aprovechar esta vulnerabilidad, un hacker necesita explotar la condición de carrera que existe entre la conversión del FD a un marcador de estructura de control (un punto en el tiempo) y el incremento del conteo de referencia del control de estructura (otro punto en el tiempo), y forzar la estructura de control de memoria que se reciclará en un proceso de kernel en que el bit fijo puede usarse para aprovechar la vulnerabilidad.
01/15/2015 01/15/2015
CVE-2014-8298: GLX-INDIRECTO (incluidos CVE-2014-8093, CVE-2014-8098)
La compatibilidad con la renderización indirecta de GLX incluida en los productos NVIDIA está sujeta a las vulnerabilidades de X.Org (CVE-2014-8093, CVE-2014-8098) divulgadas recientemente, así como a vulnerabilidades identificadas internamente (CVE-2014-8298).
12/09/2014 12/11/2014
CVE-2014-0224: Vulnerabilidad de GameStream OpenSSL
La biblioteca OpenSSL incluida en los componentes de GameStream de GeForce Experience antes de la versión 2.1.1 y el SHIELD Hub antes de la versión 3.2.18713345 está sujeta a una vulnerabilidad recientemente difundida por OpenSSL SSL/TLS MITM (CVE-2014-0224). Como resultado de esto, un atacante que explote con éxito esta vulnerabilidad podría robar información de sesión de GameStream confidencial, incluyendo la contraseña del usuario, además de modificar datos de la sesión.
09/09/2014 09/09/2014
CVE-2014-0160: Vulnerabilidad en OpenSSL de Gamestream
La biblioteca de OpenSSL incluida en el componente GameStream de GeForce Experience 2.0.0 está sujeta a Heartbleed, la vulnerabilidad recientemente divulgada. Como resultado, el creador de un ataque que haya explotado con éxito esta vulnerabilidad podría leer la memoria de proceso de servicio de GameStream desde otra computadora y, potencialmente, robar datos confidenciales de la sesión de GameStream, incluyendo la contraseña del usuario, o desencriptar sesiones futuras de GameStream.
04/29/2014 04/29/2014
CVE-2013-5987: Vulnerabilidad de acceso a GPU sin privilegios
Un error del controlador de la tarjeta gráfica NVIDIA permite que software en modo de uso sin privilegios acceda a la GPU de manera inapropiada. Un atacante que logre explotar esta vulnerabilidad podría asumir el control de un sistema afectado.
12/2/2013 12/2/2013
Vulnerabilidad del servicio del Controlador de pantalla NVIDIA CVE-2013-0109
Debido a un problema identificado con el controlador de NVIDIA, un actor malicioso podría (forzando las excepciones y sobrescribiendo la memoria) escalar potencialmente privilegios para obtener control administrativo de un sistema. La vulnerabilidad está asociada al servicio del Controlador de pantalla NVIDIA, y afecta los controladores NVIDIA para los sistemas operativos Windows (Windows XP/Windows Vista/Windows 7/Windows 8 - de 32 y 64 bits), a partir de los controladores de la Versión 173.
2/22/2013 2/22/2013
Vulnerabilidad del servicio del Controlador de 3D estereoscópico NVIDIA CVE-2013-0110
NVIDIA ha verificado un problema con el servicio de Controlador de 3D estereoscópico NVIDIA (nvSCPAPISvr.exe), que podría permitir que un actor malicioso escale privilegios localmente insertando un archivo ejecutable en la ruta del servicio afectado. El problema específico identificado fue que el servicio usaba una ruta de servicio sin comillas, con al menos un espacio en blanco.
2/22/2013 2/22/2013
Vulnerabilidad del demonio del servicio de actualización de NVIDIA CVE-2013-0111
NVIDIA ha verificado un problema con el demonio del servicio de actualización de NVIDIA (daemonu.exe), que podría permitir que un actor malicioso escale potencialmente privilegios locales al insertar un archivo ejecutable en la ruta del servicio afectado. El problema específico identificado fue que el servicio usaba una ruta de servicio sin comillas, con al menos un espacio en blanco.
2/22/2013 2/22/2013
Vulnerabilidad del Controlador de gráficos NVIDIA UNIX CVE-2012-4225
Los controladores de gráficos NVIDIA UNIX anteriores al 295.71 y al 304.32 les permiten a los usuarios locales escribir en lugares arbitrarios de la memoria física y obtener privilegios al modificar la ventana de VGA usando /dev/nvidia0.
8/2/2012 2/20/2013
Vulnerabilidad de la seguridad CVE-2012-0946 en el controlador NVIDIA UNIX
Esta vulnerabilidad posibilita que un atacante que tenga acceso de lectura y de escritura a los nodos del dispositivo de GPU reconfigure las GPU para obtener acceso a la memoria arbitraria del sistema.
4/4/2012 8/6/2012
Vulnerabilidad del Controlador de gráficos NVIDIA UNIX CVE-2006-5379
La funcionalidad acelerada de renderización del Controlador de gráficos binarios NVIDIA (controlador de blob binario) para Linux v8774 y v8762 permite que atacantes locales y remotos ejecuten un código arbitrario por medio de un valor con gran ancho en un glifo de fuente, lo que puede usarse para sobrescribir lugares arbitrarios de la memoria.
10/18/2006 2/20/2013