À propos de NVIDIA

  • PROGRAMME PARTENAIRE
  • ACTUALITÉS NVIDIA
  • BLOG NVIDIA
  • INVESTISSEURS
Sécurité des produits NVIDIA

NVIDIA prend très au sérieux les problèmes de sécurité et s'efforce d'y répondre rapidement. Dès qu'un problème de sécurité est signalé, NVIDIA mobilise les ressources nécessaires pour le confirmer, l'analyser et prendre les mesures appropriées pour le résoudre. NVIDIA collabore avec des sociétés de sécurité reconnues pour s'assurer que toute vulnérabilité est correctement traitée et résolue.

 

SIGNALER UN PROBLÈME DE SÉCURITÉ À NVIDIA

 

Vous pouvez signaler ici tout problème de sécurité relatif aux produits et aux services NVIDIA. Chaque requête sera prise en charge par les équipes de sécurité de NVIDIA. L'un de nos spécialistes vous contactera sous les plus brefs délais si le moindre suivi s'avère nécessaire.

REMARQUE : l'assistance technique du produit n'est pas disponible ici. Pour tout support technique lié aux produits NVIDIA, rendez-vous sur le portail d'assistance NVIDIA.

 

NOTIFICATIONS DE SÉCURITÉ

 

Le tableau ci-après détaille des problèmes de sécurité potentiels. Ces vulnérabilités peuvent toutes être résolues en installant la dernière version des pilotes NVIDIA.

Problèmes connus (en anglais) Date de publication Dernière mise à jour
Security Bulletin: NVIDIA GeForce Experience contains a vulnerability in NVIDIA Web Helper.exe (repackaged Node.js)
CVE-2017-6250: Violation of application execution policy and local code execution
27/04/2017 27/04/2017
Application Whitelisting Through NVIDIA node.js 21/04/2017 21/04/2017
Le pilote d'affichage GPU NVIDIA contient des vulnérabilités multiples au niveau du gestionnaire affecté à la couche du mode de kernel
CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324 : déni de service ou élévation potentielle des privilèges
CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320 : déni de service
CVE-2017-0317 : élévation des privilèges
14/02/2017 04/04/2017
Bulletin de sécurité : Vulnérabilité du module NVIDIA Web Helper.exe affectant l'applciation NVIDIA GeForce Experience (CVE-2016-8827) 14/12/2016 14/12/2016
Le pilote d'affichage GPU NVIDIA Windows contient des vulnérabilités multiples au niveau du gestionnaire affecté à la couche du mode de kernel (nvlddmkm.sys) pour DxgDdiEscape et le pilote d'affichage GPU NVIDIA Linux contient une vulnérabilité relative à la couche du mode de kernel (nvidia.ko).
CVE-2016-8824 et CVE-2016-8821 : élévation des privilèges
CVE-2016-8822, CVE-2016-8823, CVE-2016-8825 : déni de service ou élévation potentielle des privilèges
CVE-2016-8826 : déni de service
14/12/2016 04/1/2017
NVIDIA SHIELD contient des vulnérabilités multiples dans nvhost_job.c
CVE-2016-6915, CVE-2016-6916, CVE-2016-6917 : risque potentiel de crash système
09/12/2016 09/12/2016
NVIDIA SHIELD contient des vulnérabilités multiples au niveau Mediaserver et Kernel
CVE-2016-3847 : dépassement de tas en écriture
CVE-2016-3815 : composant de pilote à longueur contrôlée par l’utilisateur
CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848 : vulnérabilité avec élévation des privilèges
CVE-2016-3793 : situation d’accès concurrent UaF (use-after-free)
CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688 : divulgation d’informations
30/11/2016 21/11/2016
Le pilote d'affichage GPU NVIDIA Windows contient des vulnérabilités multiples au niveau du gestionnaire affecté à la couche du mode de kernel (nvlddmkm.sys) pour DxgDdiEscape :
CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818 et CVE-2016-8819 : déni de service ou élévation potentielle des privilèges
CVE-2016-8820 : déni de service ou divulgation d'informations
18/11/2016 04/1/2017
Le pilote d'affichage GPU NVIDIA Linux contient des erreurs de vérification des permissions et des vulnérabilités de validation :
CVE-2016-7382 et CVE-2016-7389 : élévation des privilèges
28/10/2016 04/1/2017
Le pilote d'affichage GPU NVIDIA Windows contient des vulnérabilités multiples au niveau du gestionnaire affecté à la couche du mode de kernel (nvlddmkm.sys) et l'application NVIDIA GeForce Experience contient une vulnérabilité relative à la couche du mode de kernel (nvstreamkms.sys).
Le pilote d'affichage GPU NVIDIA Windows contient des vulnérabilités multiples au niveau du gestionnaire affecté à la couche du mode de kernel (nvlddmkm.sys) :
CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383 : déni de service ou élévation potentielle des privilèges
CVE-2016-7382 : élévation des privilèges
CVE-2016-7386 : fuite de contenu de la mémoire du kernel via un tampon non initialisé
L'application NVIDIA GeForce Experience contient une vulnérabilité relative à la couche du mode de kernel (nvstreamkms.sys) :
CVE-2016-8812 : déni de service ou élévation des privilèges
28/10/2016 04/1/2017
Bulletin de sécurité : Vulnérabilités multiples affectant les systèmes Windows basés sur Quadro, NVS et GeForce
CVE-2016-4959 : déni de service distant
CVE-2016-3161, CVE-2016-5852 : vulnérabilités relatives à un chemin de service non normalisé avec GFE GameStream et le plug-in NVTray
CVE-2016-4960 : élévation de privilège avec NVStreamKMS.sys
CVE-2016-4961 : déni de service local authentifié avec NVStreamKMS.sys
CVE-2016-5025 : vulnérabilité de déni de service avec NVAPI
19/8/2016 19/8/2016
Vulnérabilités relatives au pilote de kernel Tegra Linux
Des vulnérabilités trouvées dans les pilotes de kernel Tegra pouvaient permettre à un attaquant local d'obtenir une élévation de ses privilèges ou d'exécuter du code arbitraire.
02/08/2016 02/08/2016
CVE-2016-2556: Kernel driver escape can allow access to restricted functionality
Ce problème de sécurité peut augmenter les risques d'accès non autorisé à des ressources privilégiées par du code malveillant. Cette vulnérabilité pouvait être exploitée pour autoriser une élévation des privilèges afin de tenter d'accéder à des informations privées ou de provoquer une attaque système par déni de service.
3/21/2016 3/21/2016
CVE-2016-2557: Kernel driver escape privileged memory access
Ce problème de sécurité peut augmenter les risques d'accès non autorisé à des ressources privilégiées par du code malveillant. Cette vulnérabilité pouvait être exploitée pour accéder à de la mémoire non initialisée ou hors limites et provoquer des divulgations d'information, des interruptions du système ou des attaques par déni de service ainsi qu'une élévation potentielle des privilèges.
3/21/2016 3/21/2016
CVE-2016-2558: Kernel driver escape allows untrusted pointer
Ce problème de sécurité peut augmenter les risques d'accès non autorisé à des ressources privilégiées par du code malveillant. Cette vulnérabilité pouvait être exploitée pour accéder à de la mémoire non initialisée ou hors limites et provoquer des divulgations d'information, des interruptions du système ou des attaques par déni de service ainsi qu'une élévation potentielle des privilèges.
3/21/2016 3/21/2016
Google Android Stagefright Multimedia Vulnerabilities
Le moteur multimédia du système d'exploitation Google Android, dénommé Stagefright (ou "libstagefright"), est affecté par plusieurs vulnérabilités pouvant permettre à un attaquant distant de provoquer un déni de service ou exécuter du code arbitraire avec des permissions élevées.
20/11/2015 20/11/2015
CVE-2015-7866: NVIDIA CONTROL PANEL UNQUOTED PATH
Le Panneau de configuration NVIDIA (sous Windows) est affecté par une vulnérabilité relative à un chemin d'accès non normalisé, permettant à un attaquant local d'obtenir une élévation de ses privilèges.
18/11/2015 18/11/2015
CVE-2015-7865: STEREOSCOPIC 3D DRIVER SERVICE ARBITRARY RUN KEY CREATION
Le service 3D Vision "nvSCPAPISvr.exe" entraîne la création d'un tube nommé pouvant autoriser une élévation de privilèges. Dans les environnements de domaine Windows, il est par ailleurs possible d'exploiter cette vulnérabilité si l'attaquant possède un compte utilisateur valide sur une machine à domaine partagé.
18/11/2015 18/11/2015
CVE-2015-7869: Unsanitized User Mode Input
Cette alerte concerne une vulnérabilité de sécurité de la couche de support NVAPI des pilotes graphiques pour GPU NVIDIA. Ce rapport détaille également une alerte de sécurité relative à des problèmes de débordement d'entier dans le mode de kernel affecté du pilote graphique.
18/11/2015 18/11/2015
MICROSOFT DETOURS SECURITY UPDATE
Un bug de l'implémentation Detours peut potentiellement réduire l'efficacité de certaines fonctionnalités de sécurité du système d'exploitation.
NVIDIA diffuse une mise à jour de la bibliothèque Microsoft Detours avec des versions plus récentes afin de corriger le problème susmentionné et actualiser les systèmes NVIDIA avec le dernier patch Microsoft Detours.
18/11/2015 18/11/2015
CVE-2015-5950 : Problème de corruption mémoire dû à une vulnérabilité de pointeur du pilote d'affichage NVIDIA
Une vulnérabilité relative au pilote d'affichage NVIDIA pouvait être exploitée afin d'autoriser un utilisateur local sans privilèges à provoquer une corruption de la mémoire du kernel. Cet exploit pouvait permettre de gagner des privilèges root locaux.
25/09/2015 25/09/2015
CVE-2015-3625 : Élévation des privilèges via une vulnérabilité de déréférencement des pointeurs relative au pilote de kernel NVIDIA FreeBSD
Le pilote graphique niveau kernel NVIDIA FreeBSD ne désactive pas correctement les pointeurs de l'espace graphique utilisateur avant leur déréférencement.
19/06/2015 19/06/2015
Bulletin de sécurité : NVIDIA Tegra Linux L4T présente un problème de débordement de tampon affectant la bibliothèque glibc permettant l'exécution de code arbitraire
CVE-2015-0235 : dépassement de tas GHOST dans glibc
03/03/2015 11/02/2017
Bulletin de sécurité : Vulnérabilités Bash affectant NVIDIA Tegra Linux L4T
CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: Vulnérabilités Bash de type "Shellshock".
03/03/2015 03/02/2017
CVE-2015-1170 : Processus d'identification relatif aux privilèges Windows
Le module de vérification de l'identité administrateur intégré au pilote d'affichage NVIDIA peut parfois valider l'identité du client local de manière inappropriée et ainsi permettre une élévation intempestive des privilèges utilisateur.
02/03/2015 02/03/2015
CVE-2014-5332 : VULNÉRABILITÉ NVMAP RELATIVE AU KERNEL LINUX NVIDIA TEGRA
Une vulnérabilité momentanée de type "Use-after-Free" du composant NVMap pouvait permettre à un bit unique fixe de nettoyer les données des structures de mémoire recyclée. Les pirates exploitant cette vulnérabilité pouvaient ainsi profiter de la situation d'accès concurrent existant entre la conversion FD d'un pointeur de structure (à un moment donné) et le compteur de références "refcount" d'une structure (à un autre moment donné) pour forcer la structure descriptive de mémoire à être recyclée dans un processus de kernel où le bit fixe pouvait être utilisé à des fins non autorisées.
15/01/2015 15/01/2015
CVE-2014-8298 : RENDU INDIRECT GLX (CVE-2014-8093 et CVE-2014-8098 inclus)
Le support du mode de rendu indirect GLX avec les produits NVIDIA est sujet aux vulnérabilités X.Org récemment découvertes (CVE-2014-8093, CVE-2014-8098) et aux vulnérabilités identifiées en interne (CVE-2014-8298).
09/12/2014 11/12/2014

CVE-2014-0224: problème de vulnérabilité OpenSSL relatif à Gamestream

La bibliothèque OpenSSL incluse dans le composant GameStream de GeForce Experience (version 2.1.1 et versions antérieures) et de SHIELD Hub (version 3.2.18713345 et versions antérieures) était sujette à la vulnérabilité logicielle OpenSSL SSL/TLS MITM (CVE-2014-0224). Les pirates exploitant cette vulnérabilité pouvaient ainsi accéder aux données mémoire du processus GameStream et, potentiellement, voler des informations confidentielles de la session GameStream incluant le mot de passe de l'utilisateur ou décrypter des sessions GameStream ultérieures.

09/09/2014

09/09/2014

CVE-2014-0160 : problème de vulnérabilité OpenSSL relatif à Gamestream Vulnerability.

La bibliothèque OpenSSL incluse dans le composant GameStream de GeForce Experience version 2.0.0 était sujette à la vulnérabilité logicielle Heartbleed. Les pirates exploitant cette vulnérabilité pouvaient ainsi, depuis un autre ordinateur, accéder aux données mémoire du processus GameStream et, potentiellement, voler des informations confidentielles de la session GameStream incluant le mot de passe de l'utilisateur ou décrypter des sessions GameStream ultérieures.

29/04/2014

29/04/2014

CVE-2013-5987 : Problème de vulnérabilité lié à un accès GPU non autorisé.

Un bug des pilotes graphiques NVIDIA permet à des utilisateurs non autorisés d'accéder au GPU de manière inappropriée. Des pirates parvenant à exploiter cette vulnérabilité pouvaient ainsi prendre le contrôle des systèmes affectés.

02/12/2013

02/12/2013

CVE-2013-0131 : Débordement de tampon curseur dans le mode NoScanout du pilote GPU ARVB pour NVIDIA UNIX.

Lors de l'exécution du pilote NVIDIA pour X Window System en mode NoScanout et que le client X installait un curseur ARVB d'une taille dépassant les valeurs prévues (64x64 ou 256x256, selon la version du pilote), un problème de débordement de tampon pouvait intervenir. Ce problème pouvait provoquer un déni de service (par exemple des erreurs de segmentation du serveur X) ou pouvait être exploité pour exécuter du code arbitraire. Le serveur X utilisant l'utilitaire "setuid root" avec de nombreuses configurations, un attaquant pouvait potentiellement exploiter cette faille pour s'approprier les privilèges root.

02/04/2013

02/04/2013

CVE-2013-0109 : Vulnérabilité liée au service du pilote d'affichage NVIDIA

En raison d'une faille du pilote d'affichage NVIDIA, des opérateurs malveillants pouvaient forcer les exceptions et écraser les données de mémoire pour augmenter leurs privilèges et prendre les droits administrateur d'un système. Cette vulnérabilité est associée au service du pilote d'affichage NVIDIA. Elle affecte la série de pilotes NVIDIA (gamme 173 et plus) pour les systèmes d'exploitation Windows (Windows XP/Windows Vista/Windows 7/Windows 8 ; 32 bits et 64 bits)

22/02/2013

22/02/2013

CVE-2013-0110 : Vulnérabilité liée au service du pilote 3D relief NVIDIA

NVIDIA a identifié un problème de vulnérabilité lié au service du pilote 3D relief NVIDIA (nvSCPAPISvr.exe), qui pouvait permettre à des opérateurs malveillants d'augmenter leurs privilèges locaux en affectant un fichier exécutable au service correspondant. Le service utilisait un nom de chemin non normalisé qui contenait au moins un espace.

22/02/2013

22/02/2013

CVE-2013-0111 : Vulnérabilité liée au service Daemon de NVIDIA Update

NVIDIA a identifié un problème de vulnérabilité lié au service Daemon de NVIDIA Update (daemonu.exe), qui pouvait permettre à des opérateurs malveillants d'augmenter leurs privilèges locaux en affectant un fichier exécutable au service correspondant. Le service utilisait un nom de chemin non normalisé qui contenait au moins un espace.

22/02/2013

22/02/2013

CVE-2012-4225 : Vulnérabilité liée aux pilotes graphiques NVIDIA UNIX

Les pilotes NVIDIA UNIX (version 295.71, 304.32 et antérieures) permettaient aux utilisateurs locaux d'écrire des données dans des zones arbitraires de mémoire physique et d'augmenter leurs privilèges en modifiant la fenêtre VGA via la commande /dev/nvidia0.

02/08/2012

20/02/2013

CVE-2012-0946 : Vulnérabilité liée au pilote NVIDIA UNIX

Ce problème de vulnérabilité permettait aux pirates d'accéder (en lecture comme en écriture) aux nœuds GPU afin de reconfigurer le processeur graphique pour accéder à la mémoire système arbitraire.

04/04/2012

06/08/2012

CVE-2006-5379 : Vulnérabilité liée aux pilotes graphiques NVIDIA UNIX

La fonctionnalité d'accélération du rendu du pilote graphique binaire NVIDIA (le pilote BLOB "Binary Large OBject"), pour Linux v8774 et v8762, permettait aux opérateurs malveillants en local ou à distance d'exécuter du code arbitraire via la valeur de taille d'un glyphe de caractère. Cette faille permettait d'écraser des données dans des zones arbitraires de mémoire.

18/10/2006

20/02/2013

 
À propos de NVIDIA

Informatique visuelle
Historique NVIDIA
Biographies
Carrières NVIDIA
Bureaux NVIDIA
Chartes

Informations NVIDIA

Actualités NVIDIA
Blog NVIDIA
Investisseurs
Programme NVIDIA Partenaire

Chartes institutionnelles

Informations Juridiques
Charte d'utilisation des Médias sociaux
Déclaration de confidentialité
Charte d'utilisation des cookies
Sécurité des produits

Liens associés

Recherche NVIDIA
Relations universitaires
Demande d'intervenant

NVIDIA en ligne

NVIDIA Blog Blog NVIDIA

Facebook Facebook

Twitter Twitter

Twitch Twitch

YouTube YouTube