3 failles critiques comblées par NVIDIA avec les derniers pilotes GeFORCE

Il vrai que ce n'est pas toujours ni idéal ni tentant de se jeter dès la publication sur la dernière version d'un bout de software (Microsoft pourrait certainement aussi en dire long à ce sujet, n'est-ce pas ?), le consommateur n'ayant de cesse ces derniers temps de jouer de plus en plus souvent le rôle de bêta-testeur un peu malgré lui. Mais s'il vous fallait aujourd'hui une très bonne raison pour mettre à jour les pilotes de votre carte NVIDIA, GeFORCE, Quadro ou autre, la voici peut-être !

Les derniers pilotes Game Ready en date sont les 430.64 WHQL du 10 mai, on vous les avait présentés ici avec un lien pour le téléchargement. En fin de compte, il s'est avéré que ceux-ci font en réalité bien plus que d'apporter de simples optimisations pour 3 nouveaux jeux (Rage 2, Total War et World War Z) et des corrections de bugs, puisque NVIDIA s'en est aussi servi pour colmater trois brèches plus ou moins sévères. 

 Et donc parfois aussi des trous en moins !

La première faille, CVE-2019-5675, prend sa source d'une vulnérabilité dans le noyau de l'un des composants du pilote. Un noyau est une partie importante du pilote et possède des privilèges spéciaux élevés vis-à-vis de l'information qu'il peut accéder et modifier. Ainsi, à cause d'un défaut dans la synchronisation des données partagées (entre le pilote et le système), un pirate ou logiciel malveillant pouvait en théorie obtenir le contrôle du système, s'en servir pour des attaques par déni de service ou tout simplement collecter assez facilement des données. On précisera que le score d'impact CVSS v3.0 est de 5,9/10 et son exploitabilité de 1,8/10.

De son côté, la faille CVE-2019-5676 fait que le pilote échoue lors de la vérification la validité Windows de certains fichiers, et il serait ainsi possible de remplacer des fichiers DLL (par exemple par des malware) et ainsi tromper le système ou l'utilisateur en laissant croire qu'ils sont bien légitimes, une porte ouverte pour des attaques et autres actions malveillantes. Là encore, le score CVSS v3.0 d'exploitabilité est assez bas à 0,8/10, tandis que l'impact est évalué à 5,9/10.

Enfin, la dernière, la CVE-2019-5677. C'est assez simple, il s'agit encore une fois d'une faille dans l'une des couches du noyau, spécifiquement lorsque le logiciel procède à la lecture d'un buffer et dont les mécanismes d'accès référencent d'autres emplacements mémoires après le buffer ciblé. Il pourrait en découler une attaque par déni de service. Ici, ont été obtenus en CVSS v3.0 des scores de 3,6/10 et 1,8/10, respectivement l'impact et l'exploitabilité.

Vu ainsi, il ne s'agissait probablement pas des failles les plus exploitables qui furent, mais c'est évidemment une très bonne chose qu'elles soient enfin purgées des pilotes de NVIDIA. Pour les GeFORCE, toutes les versions R430 antérieures à la 430.64 sont concernées par ces vulnérabilités. Côté Quadro, NVS et Tesla de NVIDIA, les pilotes R400 recevront leur mise à jour de sécurité cette semaine (si ce n'est déjà fait), tandis que les pilotes R390 des Quadro et NVS devront attendre encore jusqu'à la semaine du 20 mai. Voilà, après la correction d'une faille critique de GeFORCE Experience en mars, c'est quand même encore une bonne chose de fait...(source)