보안

제품정보

NVIDIA 제품 보안

NVIDIA는 보안의 우려사항에 대한 중요성을 인식하고 있으며 빠르게 검토 및 해결하기 위해 노력하고 있습니다. 일단 우려사항이 보고되면 NVIDIA는 적절한 리소스를 활용하여 문제 해결에 필요한 시정 조치를 분석, 확인 및 제공합니다. NVIDIA는 보안 인텔리전스 커뮤니티와 협력하여 해당 제품과 관련된 취약점과 시정 조치가 적절하게 공개되도록 보장합니다.


NVIDIA에 보안 문제 통보하기


NVIDIA 제품 및 서비스 관련 보안 문제는 여기로 보내주시기 바랍니다. 보내주신 모든 내용은 NVIDIA 제품 보안팀에서 모니터링하며, 필요한 경우 추후 저희 보안 전문가가 연락을 드릴 수 있습니다.

다음을 참고하십시오. 제품 기술 지원은 웹 형태나 여기에 나열된 PGP 이메일 방식으로는 제공되지 않습니다.

NVIDIA 제품의 기술 지원에 대해서는 저희 NVIDIA 지원 웹 사이트를 방문해주십시오.
* NVIDIA 기술 지원은 영어로만 제공되는 점 참고하시기 바랍니다.


보안 통지


이 목록은 잠재적인 보안 취약점을 간략히 설명합니다. 이 문제들은 최신 NVIDIA 드라이버 업데이트로 해결할 수 있습니다.

간략한 설명 최초 게시일 최근 업데이트
Security Bulletin: NVIDIA GPU Display Driver contains multiple vulnerabilities in the kernel mode layer handler
CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324: Denial of Service or possible Escalation of Privileges
CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320: Denial of Service
CVE-2017-0317: Escalation of Privileges
02/14/2017 04/04/2017
보안 공지: NVIDIA Web Helper.exe의 취약점이 NVIDIA GeForce Experience에 영향을 미침(CVE-2016-8827) 12/14/2016 12/14/2016
NNVIDIA Windows GPU 디스플레이 드라이버의 DxgDdiEscape에 대한 커널 모드 계층(nvlddmkm.sys) 처리기에 여러 취약점이 포함되어 있으며 Linux GPU 디스플레이 드라이버의 커널 모드 계층(nvidia.ko)에 취약점이 포함되어 있음
CVE-2016-8824, CVE-2016-8821: 권한 에스컬레이션
CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: 서비스 거부(DoS) 또는 권한 에스컬레이션 가능
CVE-2016-8826: 서비스 거부(DoS)
12/14/2016 1/04/2017
NVIDIA Shield의 nvhost_job.c에 여러 취약점이 포함되어 있음
CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: 시스템 충돌 가능성
12/09/2016 12/09/2016
NVIDIA Shield의 Mediaserver 및 커널에 여러 취약점이 포함되어 있음
CVE-2016-3847: 힙 쓰기 오버플로
CVE-2016-3815: 사용자 제어 길이의 드라이버 스택 읽기
CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: 권한 상승 취약점
CVE-2016-3793: 경합 상태 UAF(Use-After-Free)
CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: 정보 공개
11/30/2016 11/21/2016
NVIDIA Windows GPU 디스플레이 드라이버의 DxgDdiEscape에 대한 커널 모드 계층(nvlddmkm.sys) 처리기에 여러 취약점이 포함되어 있음
CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818, and CVE-2016-8819: 서비스 거부(DoS) 또는 권한 에스컬레이션 가능
CVE-2016-8820: 서비스 거부(DoS) 또는 정보 공개
11/18/2016 1/04/2017
NVIDIA Linux GPU 디스플레이 드라이버에 누락된 권한 확인 및 잘못된 유효성 검사 취약점이 포함되어 있음:
CVE-2016-7382 and CVE-2016-7389: 권한 에스컬레이션
10/28/2016 1/04/2017
NVIDIA Windows GPU 디스플레이 드라이버의 커널 모드 계층(nvlddmkm.sys) 처리기에 여러 취약점이 포함되어 있으며 NVIDIA GeForce Experience의 커널 모드 계층(nvstreamkms.sys)에 취약점이 포함되어 있음
NVIDIA Windows GPU 디스플레이 드라이버의 커널 모드 계층(nvlddmkm.sys) 처리기에 여러 취약점이 포함되어 있음
CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: 서비스 거부(DoS) 또는 권한 에스컬레이션 가능
CVE-2016-7382: 권한 에스컬레이션
CVE-2016-7386: 초기화되지 않은 버퍼를 통해 사용자 공간으로 커널 메모리 콘텐츠 누수
NVIDIA GeForce Experience의 커널 모드 계층(nvstreamkms.sys)에 취약점이 포함되어 있음:
CVE-2016-8812: 서비스 거부(DoS) 또는 권한 에스컬레이션
10/28/2016 1/04/2017
보안 공지: 여러 취약점이 Quadro, NVS 및 GeForce Windows 기반 시스템에 영향을 미침
CVE-2016-4959: 원격 데스크톱 서비스 거부(DoS)
CVE-2016-3161, CVE-2016-5852: GFE GameStream 및 NVTray 플러그인 알 수 없는 서비스 경로 취약점
CVE-2016-4960: NVStreamKMS.sys 권한 상승
CVE-2016-4961: NVStreamKMS.sys 로컬 인증 서비스 거부(DoS)
CVE-2016-5025: NVAPI 서비스 거부(DoS) 취약점
8/19/2016 8/19/2016
Tegra Linux 커널 드라이버 취약점
NVIDIA Tegra 커널 드라이버에서 발견된 취약점으로 인해 공격자가 권한을 에스컬레이션하거나 임의 커널 코드를 실행할 수 있습니다.
8/02/2016 8/02/2016
구글 안드로이드Stagefright 멀티미디어 취약점
Stagefright (또는 libstagefright)로 알려진 구글 안드로이드 운영 체제의 멀티미디어 원격 공격자가 서비스 거부나 상승 허가를 위한 임의 코드를 실행할 수 있는 다양한 취약점에 영향을 받습니다.
11/20/2015 11/20/2015
CVE-2015-7866: NVIDIA 제어판의 알 수 없는 경로(UNQUOTED PATH)
NVIDIA 제어판은 Windows에서 로컬 공격자가 권한을 상승할 수 있도록 허용하는 알 수 없는 경로의 취약점에 영향을 받습니다.
11/18/2015 11/18/2015
CVE-2015-7865: STEREOSCOPIC 3D 드라이버 서비스 임의 런 키 생성
3D 비전 서비스 nvSCPAPISvr.exe는 권한 상승을 허용 할 수 있는 네임드 파이프를 생성합니다. Windows Domain 환경에서는 공격자가 하나의 도메인에 가입한 컴퓨터에서 유효한 사용자 계정이있는 경우, 취약점을 악용할 가능성이 있습니다.
11/18/2015 11/18/2015
CVE-2015-7869: 처리되지 않는 사용자 모드 입력
이 권고사항은 NVIDIA GPU 그래픽 드라이버의 NVAPI 지원에서의 보안 취약점과 관련되어 있습니다. 해당 리포트는 내부의 커널 모드 드라이버에서의 정수 오버플로우 현상과 관련한 정보를 제공합니다.
11/18/2015 11/18/2015
마이크로소프트 Detours보안 업데이트
Detours 실행 관련 버그는 운영 체제의 보안기능 효과 일부를 줄일 수 있습니다. NVIDIA는 해당 문제 현상을 해결하기 위해 현재 빌드로 업데이트된 Detours 라이브러리를 재배포하며, 최신 Microsoft Detours 패치 레벨의 NVIDIA 시스템을 제공합니다.
11/18/2015 11/18/2015
CVE-2015-5053: 서드 파티 디바이스 IO 메모리의 GPU 맵핑
해당 취약점은 GPU가 비할당(de-allocation) 단계를 지나 서드 파티 디바이스 IO 메모리에 액세스하는 것을 유발하는데 악용 될 수 있습니다. 이것은 서비스 거부(잘못된 요청에 대한 장치 클로깅)를 유발할 수 있으며, 또는 서드 파티 디바이스의 특권이라 할 수 있는 IO 공간에 액세스하기 위해 사용될 수 있습니다.
11/09/2015 11/09/2015
CVE-2015-5950 NVIDIA 디스플레이 드라이버에서 unsanitized 포인터로 인한 메모리 변형
NVIDIA 드라이버에서 발견된 로컬 사용자 및 권한이 없는 사용자가 커널 메모리를 변형 시킬 수 있는 취약점이 로컬 루트 권한을 얻는데 사용될 수 있습니다.
09/25/2015 09/25/2015
CVE-2015-3625: NVIDIA FreeBSD 커널 드라이버에서 삭제되지 않은 포인터 역참조를 통한 권한상승 FreeBSD
용 NVIDIA GPU 커널 수준의 드라이버는 역참조 전에 포인터를 사용자 공간에서 완전히 삭제하지 않는다.
06/19/2015 06/19/2015
NVIDIA Tegra Linux L4T에는 임의 코드(Arbitrary code)의 실행을 허용하는 glibc 라이브러리에 영향을 주는 버퍼 오버플로우(Buffer overflow)가 포함되어 있습니다.
CVE-2015-0235: glibc 라이브러리 내 GHOST 힙 오버프롤우(Heap overflow)
03/03/2015 01/11/2017
보안 공지: NVIDIA Tegra Linux L4T에 악영향을 미치는 취약성
CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: "Shellshock."이라 언급되는 취약성
03/03/2015 02/03/2017
CVE-2015-1170: Windows Privilege Impersonation 체크
NVIDIA 디스플레이 드라이버의 커널관리자 검사가 어떠한 경우에는 로컬 클라이언트의 가장(Impersonation) 레벨을 부적절하게 허용할수도있다.
03/02/2015 03/02/2015
CVE-2014-5332: 테그라 리눅스 커널 NVMAP 취약점
NVMap 구성요소 안의 순간적인 use-after-free 취약점은 재활용된 메모리 구조 안에 있는 데이터를 삭제할 수 있는 고정 single bit 에러를 허용한다. 이 취약점을 이용하기 위해, 공격자는 핸들 구조 포인터(어느 한 시점에)로의 FD 변환과 핸들 구조의 ref count 증가(다른 특정한 시점에) 사이에 존재하는 레이스 조건을 이용하거나, 고정 bit가 레버리지될 수 있는 커널 프로세스 안에서 핸들 메모리 구조가 재활용될 수 있도록 유도할 필요가 있다.
01/15/2015 01/15/2015
CVE-2014-8298: GLX-INDIRECT (Including CVE-2014-8093, CVE-2014-8098)
The GLX indirect rendering support supplied on NVIDIA products is subject to the recently disclosed X.Org vulnerabilities (CVE-2014-8093, CVE-2014-8098) as well as internally identified vulnerabilities (CVE-2014-8298).
12/09/2014 12/11/2014
CVE-2014-0224: GameStream OpenSSL 취약성
2.1.1 버전 이전의 GeForce Experience와 3.2.18713345 버전 이전의 SHIELD Hub내 Game Stream 요소에 포함되어 있는 OpenSSL 라이브러리는 최근 공개된 OpenSSL SSL/TLS MITM 취약성에 노출되어 있습니다 (CVE-2014-0224). 따라서 해커가 공격하면 유저 비밀번호를 포함한 GameStream 세션의 기밀 데이터를 도난 당할 수 있으며 세션 데이터를 변경할 수도 있습니다.
09/09/2014 09/09/2014
CVE-2013-5987: 비특권GPU 접근 취약성
NVIDIA 그래픽 드라이버 버그는 비특권 사용자 모드 소프트웨어가 부적절한 방법으로 GPU에 접근할 수 있게 합니다. 이러한 취약성이 공격 당할 경우, 침입자가 해당 시스템을 제어할 수도 있습니다.
12/2/2013 12/2/2013
CVE-2013-0131: "노스캔아웃(NoScanout)" 모드에서 NVIDIA UNIX GPU 드라이버의 ARGB 커서 버퍼 오버플로우가 발생합니다.
X Window System용 NVIDIA 드라이버를 "NoScanout" 모드로 실행하고 X 클라이언트가 예상보다 더 큰 ARGB 커서(64x64 또는 256x256, 드라이버 버전에 따라 다름)를 설치할 경우 드라이버 버퍼 오버플로우가 발생합니다. 이것은 X 서버 세그먼트 오류 등 DoS(denial of service)의 원인이 되거나 임의적 코드 실행으로 이용될 수 있습니다. X 서버는 대다수의 구성에서 setuid 루트로 실행되기 때문에 해커들은 루트 권한을 얻기 위해 이러한 구성에 잠재적으로 존재하는 취약성을 이용할 수 있습니다.
4/2/2013 4/2/2013
CVE-2013-0109 NVIDIA 디스플레이 드라이버 보안 취약점
NVIDIA 드라이버에서 발견된 문제로 인해, 악의적인 침입자가 강제로 예외를 실행하고 메모리를 덮어써서 시스템의 제어가 가능하도록 권한을 확장할 수 있습니다. 이 취약점은 NVIDIA 디스플레이 드라이버 서비스와 관련이 있으며, 버전 173 드라이버부터 Windows 운영 체제(Windows XP/Windows Vista/Windows 7/Windows 8 - 32 & 64Bit)용 NVIDIA 드라이버에 영향을 줍니다.
2/22/2013 2/22/2013
CVE-2013-0110 NVIDIA 입체 3D 드라이버 서비스 취약점
NVIDIA는 NVIDIA 입체 3D 드라이버 서비스(nvSCPAPISvr.exe)에서 악성 침입자가 관련 서비스의 경로에 실행 파일을 삽입하여 잠재적으로 로컬로 권한을 확장할 수 있는 문제를 발견했습니다. 발견된 문제는 이 서비스에서 최소 한 개의 화이트 스페이스가 포함된 인용되지 않은 서비스 경로를 사용했습니다.
2/22/2013 2/22/2013
CVE-2013-0111 NVIDIA 업데이트 서비스 데몬 취약점
NVIDIA는 NVIDIA 업데이트 서비스 데몬(daemonu.exe)에서, 악성 침입자가 관련 서비스의 경로에 실행 파일을 삽입하여 잠재적으로 로컬로 권한을 확장할 수 있는 문제를 발견했습니다. 발견된 문제는 이 서비스에서 최소 한 개의 화이트 스페이스가 포함된 인용되지 않은 서비스 경로를 사용했습니다.
2/22/2013 2/22/2013
CVE-2012-4225 NVIDIA UNIX 그래픽 드라이버 취약점
295.71 및 304.32 이전의 NVIDIA UNIX 그래픽 드라이버에서 로컬 사용자들이 /dev/nvidia0을 사용하여 VGA 창을 수정함으로써 권한을 얻고 임의의 물리적 메모리 위치에 쓸 수 있습니다.
8/2/2012 2/20/2013
NVIDIA UNIX 드라이버 내 CVE-2012-0946 보안 취약점
이 취약점으로 인해 GPU 장치 노드에 읽기 및 쓰기 액세스가 가능한 침입자가 GPU를 재구성하여 임의의 시스템 메모리에 액세스할 수 있습니다.
4/4/2012 8/6/2012
CVE-2006-5379 NVIDIA UNIX 그래픽 드라이버 취약점
Linux v8774 및 v8762용 NVIDIA 바이너리 그래픽 드라이버(바이너리 blob 드라이버)의 가속화된 렌더링 기능으로 인해 로컬 및 원격 침입자들이 글꼴 글립(glyph) 안의 큰 너비 값을 통해 임의의 코드를 실행하여 임의의 메모리 위치를 덮어쓸 수 있습니다.
10/18/2006 2/20/2013