보안

제품정보

NVIDIA 제품 보안

NVIDIA는 보안의 우려사항에 대한 중요성을 인식하고 있으며 빠르게 검토 및 해결하기 위해 노력하고 있습니다. 일단 우려사항이 보고되면 NVIDIA는 적절한 리소스를 활용하여 문제 해결에 필요한 시정 조치를 분석, 확인 및 제공합니다. NVIDIA는 보안 인텔리전스 커뮤니티와 협력하여 해당 제품과 관련된 취약점과 시정 조치가 적절하게 공개되도록 보장합니다.


NVIDIA에 보안 문제 통보하기


NVIDIA 제품 및 서비스 관련 보안 문제는 여기로 보내주시기 바랍니다. 보내주신 모든 내용은 NVIDIA 제품 보안팀에서 모니터링하며, 필요한 경우 추후 저희 보안 전문가가 연락을 드릴 수 있습니다.

다음을 참고하십시오. 제품 기술 지원은 웹 형태나 여기에 나열된 PGP 이메일 방식으로는 제공되지 않습니다.

NVIDIA 제품의 기술 지원에 대해서는 저희 NVIDIA 지원 웹 사이트를 방문해주십시오.
* NVIDIA 기술 지원은 영어로만 제공되는 점 참고하시기 바랍니다.


보안 통지


이 목록은 잠재적인 보안 취약점을 간략히 설명합니다. 이 문제들은 최신 NVIDIA 드라이버 업데이트로 해결할 수 있습니다.

간략한 설명 최초 게시일 최근 업데이트
Security Bulletin: NVIDIA GPU Display Driver contains multiple vulnerabilities in the kernel mode layer handler
CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324: Denial of Service or possible Escalation of Privileges
CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320: Denial of Service
CVE-2017-0317: Escalation of Privileges
02/14/2017 02/14/2017
Security Bulletin: Vulnerability in NVIDIA Web Helper.exe affects NVIDIA GeForce Experience (CVE-2016-8827) 12/14/2016 12/14/2016
NNVIDIA Windows GPU Display Driver contains multiple vulnerabilities in the kernel mode layer (nvlddmkm.sys) handler for DxgDdiEscape and Linux GPU Display Driver contains a vulnerability in the kernel mode layer (nvidia.ko)
CVE-2016-8824, CVE-2016-8821: escalation of privileges
CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: denial of service or potential escalation of privileges
CVE-2016-8826: denial of service
12/14/2016 1/04/2017
NVIDIA Shield contains multiple vulnerabilities in nvhost_job.c
CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: potential for system crash
12/09/2016 12/09/2016
NVIDIA Shield contains multiple vulnerabilities in Mediaserver and Kernel
CVE-2016-3847: Heap write overflow
CVE-2016-3815: Driver stack read of user-controlled length
CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: Elevation of privilege vulnerability
CVE-2016-3793: Race condition use-after-free
CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: Information disclosure
11/30/2016 11/21/2016
NVIDIA Windows GPU Display Driver contains multiple vulnerabilities in the kernel mode layer (nvlddmkm.sys) handler for DxgDdiEscape
CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818, and CVE-2016-8819: denial of service or potential escalation of privileges
CVE-2016-8820: denial of service or information disclosure
11/18/2016 1/04/2017
NVIDIA Linux GPU Display Driver contains missing permissions check and improper validation vulnerabilities:
CVE-2016-7382 and CVE-2016-7389: escalation of privileges
10/28/2016 1/04/2017
NVIDIA Windows GPU Display Driver contains multiple vulnerabilities in the kernel mode layer (nvlddmkm.sys) handler and NVIDIA GeForce Experience contains a vulnerability in the kernel mode layer (nvstreamkms.sys)
NVIDIA Windows GPU Display Driver contains multiple vulnerabilities in the kernel mode layer (nvlddmkm.sys) handler:
CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: denial of service or potential escalation of privileges
CVE-2016-7382: escalation of privileges
CVE-2016-7386: leaking of kernel memory contents to user space through an uninitialized buffer
NVIDIA GeForce Experience contains a vulnerability in the kernel mode layer (nvstreamkms.sys):
CVE-2016-8812: denial of service or escalation of privileges
10/28/2016 1/04/2017
Security Bulletin: Multiple vulnerabilities affect Quadro, NVS, and GeForce Windows based systems
CVE-2016-4959: Remote Desktop denial of service
CVE-2016-3161, CVE-2016-5852: GFE GameStream and NVTray Plugin unquoted service path vulnerabilities
CVE-2016-4960: NVStreamKMS.sys elevation of privilege
CVE-2016-4961: NVStreamKMS.sys local authenticated denial of service
CVE-2016-5025: NVAPI Denial of Service Vulnerability
8/19/2016 8/19/2016
Tegra Linux Kernel Driver Vulnerabilities
Vulnerabilities found in NVIDIA Tegra kernel drivers could allow a local attacker to escalate privileges or achieve arbitrary kernel code execution.
8/02/2016 8/02/2016
구글 안드로이드Stagefright 멀티미디어 취약점
Stagefright (또는 libstagefright)로 알려진 구글 안드로이드 운영 체제의 멀티미디어 원격 공격자가 서비스 거부나 상승 허가를 위한 임의 코드를 실행할 수 있는 다양한 취약점에 영향을 받습니다.
11/20/2015 11/20/2015
CVE-2015-7866: NVIDIA 제어판의 알 수 없는 경로(UNQUOTED PATH)
NVIDIA 제어판은 Windows에서 로컬 공격자가 권한을 상승할 수 있도록 허용하는 알 수 없는 경로의 취약점에 영향을 받습니다.
11/18/2015 11/18/2015
CVE-2015-7865: STEREOSCOPIC 3D 드라이버 서비스 임의 런 키 생성
3D 비전 서비스 nvSCPAPISvr.exe는 권한 상승을 허용 할 수 있는 네임드 파이프를 생성합니다. Windows Domain 환경에서는 공격자가 하나의 도메인에 가입한 컴퓨터에서 유효한 사용자 계정이있는 경우, 취약점을 악용할 가능성이 있습니다.
11/18/2015 11/18/2015
CVE-2015-7869: 처리되지 않는 사용자 모드 입력
이 권고사항은 NVIDIA GPU 그래픽 드라이버의 NVAPI 지원에서의 보안 취약점과 관련되어 있습니다. 해당 리포트는 내부의 커널 모드 드라이버에서의 정수 오버플로우 현상과 관련한 정보를 제공합니다.
11/18/2015 11/18/2015
마이크로소프트 Detours보안 업데이트
Detours 실행 관련 버그는 운영 체제의 보안기능 효과 일부를 줄일 수 있습니다. NVIDIA는 해당 문제 현상을 해결하기 위해 현재 빌드로 업데이트된 Detours 라이브러리를 재배포하며, 최신 Microsoft Detours 패치 레벨의 NVIDIA 시스템을 제공합니다.
11/18/2015 11/18/2015
CVE-2015-5053: 서드 파티 디바이스 IO 메모리의 GPU 맵핑
해당 취약점은 GPU가 비할당(de-allocation) 단계를 지나 서드 파티 디바이스 IO 메모리에 액세스하는 것을 유발하는데 악용 될 수 있습니다. 이것은 서비스 거부(잘못된 요청에 대한 장치 클로깅)를 유발할 수 있으며, 또는 서드 파티 디바이스의 특권이라 할 수 있는 IO 공간에 액세스하기 위해 사용될 수 있습니다.
11/09/2015 11/09/2015
CVE-2015-5950 NVIDIA 디스플레이 드라이버에서 unsanitized 포인터로 인한 메모리 변형
NVIDIA 드라이버에서 발견된 로컬 사용자 및 권한이 없는 사용자가 커널 메모리를 변형 시킬 수 있는 취약점이 로컬 루트 권한을 얻는데 사용될 수 있습니다.
09/25/2015 09/25/2015
CVE-2015-3625: NVIDIA FreeBSD 커널 드라이버에서 삭제되지 않은 포인터 역참조를 통한 권한상승 FreeBSD
용 NVIDIA GPU 커널 수준의 드라이버는 역참조 전에 포인터를 사용자 공간에서 완전히 삭제하지 않는다.
06/19/2015 06/19/2015
NVIDIA Tegra Linux L4T contains a buffer overflow affecting the glibc library allowing the execution of arbitrary code
CVE-2015-0235: GHOST heap overflow in glibc
03/03/2015 01/11/2017
보안 공지: NVIDIA Tegra Linux L4T에 악영향을 미치는 취약성
CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: "Shellshock."이라 언급되는 취약성
03/03/2015 02/03/2017
CVE-2015-1170: Windows Privilege Impersonation 체크
NVIDIA 디스플레이 드라이버의 커널관리자 검사가 어떠한 경우에는 로컬 클라이언트의 가장(Impersonation) 레벨을 부적절하게 허용할수도있다.
03/02/2015 03/02/2015
CVE-2014-5332: 테그라 리눅스 커널 NVMAP 취약점
NVMap 구성요소 안의 순간적인 use-after-free 취약점은 재활용된 메모리 구조 안에 있는 데이터를 삭제할 수 있는 고정 single bit 에러를 허용한다. 이 취약점을 이용하기 위해, 공격자는 핸들 구조 포인터(어느 한 시점에)로의 FD 변환과 핸들 구조의 ref count 증가(다른 특정한 시점에) 사이에 존재하는 레이스 조건을 이용하거나, 고정 bit가 레버리지될 수 있는 커널 프로세스 안에서 핸들 메모리 구조가 재활용될 수 있도록 유도할 필요가 있다.
01/15/2015 01/15/2015
CVE-2014-8298: GLX-INDIRECT (Including CVE-2014-8093, CVE-2014-8098)
The GLX indirect rendering support supplied on NVIDIA products is subject to the recently disclosed X.Org vulnerabilities (CVE-2014-8093, CVE-2014-8098) as well as internally identified vulnerabilities (CVE-2014-8298).
12/09/2014 12/11/2014
CVE-2014-0224: GameStream OpenSSL 취약성
2.1.1 버전 이전의 GeForce Experience와 3.2.18713345 버전 이전의 SHIELD Hub내 Game Stream 요소에 포함되어 있는 OpenSSL 라이브러리는 최근 공개된 OpenSSL SSL/TLS MITM 취약성에 노출되어 있습니다 (CVE-2014-0224). 따라서 해커가 공격하면 유저 비밀번호를 포함한 GameStream 세션의 기밀 데이터를 도난 당할 수 있으며 세션 데이터를 변경할 수도 있습니다.
09/09/2014 09/09/2014
CVE-2013-5987: 비특권GPU 접근 취약성
NVIDIA 그래픽 드라이버 버그는 비특권 사용자 모드 소프트웨어가 부적절한 방법으로 GPU에 접근할 수 있게 합니다. 이러한 취약성이 공격 당할 경우, 침입자가 해당 시스템을 제어할 수도 있습니다.
12/2/2013 12/2/2013
CVE-2013-0131: "노스캔아웃(NoScanout)" 모드에서 NVIDIA UNIX GPU 드라이버의 ARGB 커서 버퍼 오버플로우가 발생합니다.
X Window System용 NVIDIA 드라이버를 "NoScanout" 모드로 실행하고 X 클라이언트가 예상보다 더 큰 ARGB 커서(64x64 또는 256x256, 드라이버 버전에 따라 다름)를 설치할 경우 드라이버 버퍼 오버플로우가 발생합니다. 이것은 X 서버 세그먼트 오류 등 DoS(denial of service)의 원인이 되거나 임의적 코드 실행으로 이용될 수 있습니다. X 서버는 대다수의 구성에서 setuid 루트로 실행되기 때문에 해커들은 루트 권한을 얻기 위해 이러한 구성에 잠재적으로 존재하는 취약성을 이용할 수 있습니다.
4/2/2013 4/2/2013
CVE-2013-0109 NVIDIA 디스플레이 드라이버 보안 취약점
NVIDIA 드라이버에서 발견된 문제로 인해, 악의적인 침입자가 강제로 예외를 실행하고 메모리를 덮어써서 시스템의 제어가 가능하도록 권한을 확장할 수 있습니다. 이 취약점은 NVIDIA 디스플레이 드라이버 서비스와 관련이 있으며, 버전 173 드라이버부터 Windows 운영 체제(Windows XP/Windows Vista/Windows 7/Windows 8 - 32 & 64Bit)용 NVIDIA 드라이버에 영향을 줍니다.
2/22/2013 2/22/2013
CVE-2013-0110 NVIDIA 입체 3D 드라이버 서비스 취약점
NVIDIA는 NVIDIA 입체 3D 드라이버 서비스(nvSCPAPISvr.exe)에서 악성 침입자가 관련 서비스의 경로에 실행 파일을 삽입하여 잠재적으로 로컬로 권한을 확장할 수 있는 문제를 발견했습니다. 발견된 문제는 이 서비스에서 최소 한 개의 화이트 스페이스가 포함된 인용되지 않은 서비스 경로를 사용했습니다.
2/22/2013 2/22/2013
CVE-2013-0111 NVIDIA 업데이트 서비스 데몬 취약점
NVIDIA는 NVIDIA 업데이트 서비스 데몬(daemonu.exe)에서, 악성 침입자가 관련 서비스의 경로에 실행 파일을 삽입하여 잠재적으로 로컬로 권한을 확장할 수 있는 문제를 발견했습니다. 발견된 문제는 이 서비스에서 최소 한 개의 화이트 스페이스가 포함된 인용되지 않은 서비스 경로를 사용했습니다.
2/22/2013 2/22/2013
CVE-2012-4225 NVIDIA UNIX 그래픽 드라이버 취약점
295.71 및 304.32 이전의 NVIDIA UNIX 그래픽 드라이버에서 로컬 사용자들이 /dev/nvidia0을 사용하여 VGA 창을 수정함으로써 권한을 얻고 임의의 물리적 메모리 위치에 쓸 수 있습니다.
8/2/2012 2/20/2013
NVIDIA UNIX 드라이버 내 CVE-2012-0946 보안 취약점
이 취약점으로 인해 GPU 장치 노드에 읽기 및 쓰기 액세스가 가능한 침입자가 GPU를 재구성하여 임의의 시스템 메모리에 액세스할 수 있습니다.
4/4/2012 8/6/2012
CVE-2006-5379 NVIDIA UNIX 그래픽 드라이버 취약점
Linux v8774 및 v8762용 NVIDIA 바이너리 그래픽 드라이버(바이너리 blob 드라이버)의 가속화된 렌더링 기능으로 인해 로컬 및 원격 침입자들이 글꼴 글립(glyph) 안의 큰 너비 값을 통해 임의의 코드를 실행하여 임의의 메모리 위치를 덮어쓸 수 있습니다.
10/18/2006 2/20/2013