شرکت NVIDIA برای آسیبپذیریهای با شدت بالای درایور نمایش پردازندهی گرافیکی خود وصلههایی منتشر کرده است. این آسیبپذیریها به یک مهاجم اجازه میدهد تا امتیازات را ارتقاء دهد و یا کد دلخواه را در سیستمهای آسیبپذیر اجرا کند.
مهمترین اشکال رفعشده CVE-2019-5675 است که در kernel mode layer handler مربوط به DxgkDdiEscape وجود دارد. به دلیل اینکه دادههای به اشتراک گذاشته شده مانند متغیرهای ثبات در میان نخها بهدرستی همگام نمیشوند، ممکن است رفتار نامشخص و تغییرات دادهی غیرقابل پیشبینی رخ دهد. شرکت NVIDIA در مشاورهنامهی خود اعلام کرده که این اشکال ممکن است بهمنظور ایجاد شرایط منع سرویس، ارتقاء امتیاز در سیستم آسیبپذیر و یا افشای اطلاعات مورد بهرهبرداری قرار گیرد. این آسیبپذیری در نمرهدهی CVSS دارای امتیاز ۷٫۷ است.
آسیبپذیری دومی که در درایور نمایش پردازندهی گرافیکی ویندوز NVIDIA وصله شده است، نرمافزار نصبکننده را تحت تأثیر قرار میدهد و در فایلهای DLL سیستم ویندوز وجود دارد که به اشتباه و بدون اعتبارسنجی مسیر و یا امضا بارگذاری میشوند. بهطور کلی، این مسأله بهعنوان حملهی binary planting یا DLL preloading شناخته میشود. این آسیبپذیری که با شناسهی CVE-2019-5676 شناسایی میشود و در نمرهدهی CVSS دارای امتیاز ۷٫۲ است، میتواند از طریق اجرای کد منجر به ارتقاء امتیاز شود.
آسیبپذیری سوم که با شناسهی CVE-2019-5677 ردیابی میشود و در نمرهدهی CVSS دارای امتیاز ۵٫۶ است، در kernel mode layer handler مربوط به DeviceIoControl وجود دارد. NVIDIA بیان میکند که به دلیل اینکه مکانیسمهای دسترسی به بافر مانند ایندکسها و یا اشارهگرها که نرمافزار برای خواندن از یک بافر از آن استفاده میکند، ممکن است این مسأله منجر به ایجاد شرایط منع سرویس شود. درایورهای نمایش GeDorce، Quardo، NVS و Tesla در سیستمهای ویندوز تحت تأثیر این آسیبپذیری قرار گرفتهاند.
