È stata rilevata una vulnerabilità di Nvidia. È tempo di aggiornare i tuoi driver

Recensione Nvidia RTX 2060 Super e RTX 2070 Super
Dan Baker / Tendenze digitali

Proprio questo mese, Nvidia ha pubblicato sul suo sito un bollettino sulla sicurezza che avvisava i consumatori che le GPU nelle sue linee di prodotti GeForce, Quadro e Tesla erano tutte colpite da gravi vulnerabilità. Le vulnerabilità variano in base alla gravità, ma diventano pericolose quanto l'esecuzione di codice locale e l'escalation dei privilegi e possono essere trovate in tutte le versioni di numerose tracce di driver fornite dall'azienda per il suo hardware.

In particolare, questo include la linea R430 che alimenta le GPU GeForce. Mentre da allora Nvidia ha rilasciato nuove versioni con patch di tutta la sua GeForce e molti dei suoi driver Quadro, le patch per alcuni dei suoi driver Quadro e Tesla non sono state rilasciate e in alcuni casi non saranno pronte per due settimane.

La rivelazione di questi sostanziali difetti di sicurezza arriva in un momento eccezionalmente imbarazzante per il produttore di GPU, poiché ha appena rilasciato la sua linea di schede grafiche GeForce RTX Super per capitalizzare l'eccitazione del gioco post-E3. Considerando che la preoccupazione per le vulnerabilità di escalation di privilegi locali è spesso presa meno sul serio rispetto a vulnerabilità più minacciose di esecuzione di codice remoto a causa del vettore di attacco relativamente limitato, i giocatori potrebbero non pensare di scaricare e installare una patch sulla loro GPU RTX Super appena acquistata.

Queste falle di sicurezza coincidono anche con una recente delusione contro AMD. Dopo che AMD ha ingannato con successo Nvidia nel sabotare la propria versione RTX Super con un prezzo inferiore a quello della concorrenza, il marketing con nuove GPU luccicanti con vulnerabilità ad alta severità fuori dal cancello sicuramente ha voglia di salare la ferita.

Una grazia salvifica per Nvidia è che alcuni produttori di hardware potrebbero raggruppare l'aggiornamento del driver come parte di aggiornamenti di sistema più grandi, ma gli utenti non dovrebbero assolutamente contare su questo.

Allo stato attuale, un bug di esecuzione di codice locale combinato con un bug di esecuzione di privilegi può lasciare i dispositivi senza patch aperti agli attacchi fisici in cui un attore malintenzionato ottiene l'accesso fisico a un dispositivo per darsi privilegi di amministratore ed eseguire codice arbitrario. Questo tipo di attacco non è fuori discussione, poiché molti dei dispositivi contenenti schede grafiche Nvidia vulnerabili sono utilizzati da creativi che potrebbero avere o meno modelli di sicurezza affidabili o potrebbero utilizzare dispositivi accessibili al pubblico come quelli presenti nelle biblioteche o nelle sale da gioco. Indipendentemente da ciò, qualsiasi consumatore con hardware interessato dovrebbe scaricare ed eseguire i programmi di installazione delle patch forniti da Nvidia (o presto fornirà, per quelli che non sono ancora disponibili) il più presto possibile.