NVIDIA 发布了针对各种显卡型号的安全更新，解决了其 GPU 驱动程序中的四个高危漏洞和六个中危漏洞。

该安全更新修复了可能导致拒绝服务、信息泄露、特权提升、代码执行等的漏洞。

这些更新已适用于 Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品，涵盖驱动分支 R450、R470 和 R510。

为每个驱动程序分支修复的 CVE (NVIDIA)
有趣的是，除了积极支持的当前和最近的产品线，NVIDIA 的最新版本还涵盖了 GTX 600 和 GTX 700 Kepler 系列卡，其支持于 2021 年 10 月结束。

这家 GPU 制造商此前承诺 将继续为这些产品提供关键安全更新，直至 2024 年 9 月，而此次驱动程序更新兑现了这一承诺。

本月修复的四个高严重性缺陷是：

CVE-2022-28181（CVSS v3 得分：8.5） - 由通过网络发送的特制着色器导致的内核模式层越界写入，可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。
CVE-2022-28182（CVSS v3 得分：8.5）——DirectX11 用户模式驱动程序存在缺陷，允许未经授权的攻击者通过网络发送特制的共享并导致拒绝服务、权限升级、信息泄露和数据篡改。
CVE-2022-28183（CVSS v3 分数：7.7）- 内核模式层中的漏洞，非特权普通用户可能导致越界读取，这可能导致拒绝服务和信息泄露。
CVE-2022-28184（CVSS v3 得分：7.1） - DxgkDdiEscape 的内核模式层 (nvlddmkm.sys) 处理程序中的漏洞，普通非特权用户可以访问管理员特权寄存器，这可能导致拒绝服务、信息泄露，以及数据篡改。
这些漏洞需要低权限且无需用户交互，因此它们可以被整合到恶意软件中，从而允许攻击者执行具有更高权限的命令。

前两个可以通过网络利用，而另外两个可以通过本地访问来利用，这对于感染低权限系统的恶意软件仍然很有帮助。

发现 CVE-2022-28181 和 CVE-2022-28182 的 Cisco Talos 今天还发布了一篇文章， 详细介绍了他们如何通过提供格式错误的计算着色器来触发内存损坏漏洞。

由于威胁行为者可以通过 WebAssembly 和 WebGL 在浏览器中使用恶意着色器，Talos 警告说威胁行为者可能能够远程触发此操作。

“特制的可执行/着色器文件可能导致内存损坏。这个漏洞可能由运行虚拟化环境（即 VMware、qemu、VirtualBox 等）的来宾计算机触发，以执行来宾到主机的逃逸。理论上这使用 webGL 和 webassembly 的 Web 浏览器也可能触发漏洞，” Talos 解释说CVE-2022-28181。

有关本月涵盖的所有修复程序以及每个软件和硬件产品的更多详细信息，请查看NVIDIA 的安全公告。

建议所有用户尽快应用已发布的安全更新。用户可以从 NVIDIA 的下载中心 部分为他们的 GPU 型号下载最新的驱动程序，在那里他们可以选择他们正在使用的特定产品和操作系统。

这些更新也可以通过 NVIDIA 的 GeForce Experience 套件应用。

但是，如果您不是特别需要该软件来保存游戏配置文件或使用其流媒体功能，我们建议您不要使用它，因为它会带来不必要的安全风险和资源使用。