Nvidia a récemment publié des correctifs critiques pour ses pilotes graphiques et son logiciel GPU virtuel. Ils colmatent un ensemble de huit vulnérabilités qui affectent les systèmes Windows et Linux.
Ces mises à jour, publiées le 16 janvier 2025, visent à corriger des failles exploitables localement. Elles permettent l’exécution de code malveillant, la divulgation de données ou des interruptions de service.
Nvidia colmate des failles de gravité critique
Parmi les vulnérabilités corrigées, deux se distinguent par leur gravité. La première (CVE-2024-0150) concerne un dépassement de mémoire tampon dans le pilote d’affichage. Il peut conduire à une falsification des données ou à la divulgation d’informations sensibles. La seconde (CVE-2024-0146) touche le gestionnaire de GPU virtuel, où un système invité compromis peut provoquer une corruption de la mémoire et prendre le contrôle du système hôte.
Pour les utilisateurs de Windows, les mises à jour sont disponibles au travers de la version 553.62 (branche R550) et 539.19 (branche R535) des drivers graphiques GeForce. De leur coté les utilisateurs de Linux doivent passer à la version 550.144.03 ou 535.230.02, en fonction de leur branche logicielle.
Ces failles affectent une large gamme de produits Nvidia dont les cartes graphiques RTX, Quadro, NVS et Tesla. Dans les environnements virtualisés, une autre vulnérabilité majeure (CVE-2024-53881) permet aux systèmes invités de provoquer des pannes à l’échelle de la machine hôte via des tempêtes d’interruptions. Les utilisateurs de logiciels de GPU virtuel doivent mettre à jour vers les versions 17.5 (550.144.02) ou 16.9 (535.230.02).
Bien que ces vulnérabilités nécessitent un accès local pour être exploitées, elles représentent un risque important dans les environnements où plusieurs utilisateurs partagent des ressources GPU. NVIDIA recommande fortement de télécharger et d’installer immédiatement ces mises à jour via la page officielle des pilotes ou le portail de licences Nvidia pour les clients vGPU d’entreprise.