ニュース

NVIDIA製GPUディスプレイドライバーに25件の脆弱性 ~対策版へのアップデートを

「CVSS v3.1」のベーススコアは最大で「8.8」

同社が公開したセキュリティ情報

 米NVIDIAは11月28日(現地時間)、同社製のGPUディスプレイドライバーの2022年11月セキュリティ情報を公開した。CVE番号ベースで25件の脆弱性が公表されている。「CVSS v3.1」のベーススコアは最大で「8.8」。

  • CVE-2022-34669:ユーザーモードレイヤーにおけるアクセス制御不備(8.8、Windowsのみ)
  • CVE-2022-34671:ユーザーモードレイヤーにおける境界外書き込み(8.5、Windowsのみ)
  • CVE-2022-34672:「NVIDIA Control Panel」の脆弱性(7.8、Windowsのみ)
  • CVE-2022-34670:カーネルモードレイヤーハンドラーの打ち切り誤差エラー(7.8、Linuxのみ)
  • CVE-2022-42263:カーネルモードレイヤーハンドラーの整数オーバーフロー(7.1、Linuxのみ)
  • CVE-2022-34676:カーネルモードレイヤーハンドラーの境界外読み取り(7.1、Linuxのみ)
  • CVE-2022-42264:カーネルモードレイヤーハンドラーの範囲外ポインターオフセット(7.1、Linuxのみ)
  • CVE-2022-34674:カーネルモードレイヤーハンドラーでヘルパー関数が要求された以上の物理ページをマップする欠陥(6.8、Linuxのみ)
  • CVE-2022-34678:カーネルモードレイヤーハンドラーにおけるヌルポインターの逆参照(6.5、Windows及びLinux)
  • CVE-2022-34679:カーネルモードレイヤーハンドラーにおけるヌルポインターの逆参照(5.5、Linuxのみ)
  • CVE-2022-34680:カーネルモードレイヤーハンドラーの境界外読み取り(5.5、Linuxのみ)
  • CVE-2022-34677:カーネルモードレイヤーハンドラーにおける整数の切り詰め(5.5、Linuxのみ)
  • CVE-2022-34681:カーネルモードレイヤーハンドラーにおける入力検証不備(5.5、Windowsのみ)
  • CVE-2022-34682:カーネルモードレイヤーハンドラーにおけるヌルポインターの逆参照(5.5、Linuxのみ)
  • CVE-2022-34683:カーネルモードレイヤーハンドラーにおけるヌルポインターの逆参照(5.5、Windowsのみ)
  • CVE-2022-42266:カーネルモードレイヤーハンドラーにおける情報漏洩(5.5、Windowsのみ)
  • CVE-2022-42257:カーネルモードレイヤーにおける整数オーバーフロー(5.3、Linuxのみ)
  • CVE-2022-42265:カーネルモードレイヤーにおける整数オーバーフロー(5.3、Linuxのみ)
  • CVE-2022-34684:カーネルモードレイヤーにおけるOff-by-oneエラー(5.3、Linuxのみ)
  • CVE-2022-42254:カーネルモードレイヤーにおける境界外配列アクセス(5.3、Linuxのみ)
  • CVE-2022-42258:カーネルモードレイヤーにおける整数オーバーフロー(5.3、Linuxのみ)
  • CVE-2022-42255:カーネルモードレイヤーにおける境界外配列アクセス(5.3、Linuxのみ)
  • CVE-2022-42256:カーネルモードレイヤーにおける整数オーバーフロー(5.3、Linuxのみ)
  • CVE-2022-34673:カーネルモードレイヤーにおける境界外配列アクセス(4.4、Linuxのみ)
  • CVE-2022-42259:カーネルモードレイヤーにおける整数オーバーフロー(4.4、Linuxのみ)

 任意コードの実行やサービス拒否(DoS)、特権昇格、情報の漏洩、データの改ざんなどにつながる恐れがあるため、できるだけ早い対処が必要だ。Windows環境で「GeForce」製品を利用している場合は、以下のバージョンへアップデートする必要がある。

  • R525:526.98
  • R470(Windows 10/11):474.04(「Kepler」シリーズのみ)
  • R470(Windows 7/8.x):474.06

 NVIDIA製GPUの最新版ドライバーは現在、公式サイトから無償で入手可能。同社が提供するユーティリティ「GeForce Experience」を利用してアップデートすることもできる。NVIDIA VGPUソフトウェアに対するセキュリティアップデートも提供されているので、利用中の場合は注意したい。

「GeForce Experience」を利用してアップデートすることもできる