官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
NVIDIA近日为其GPU显示驱动发布了重要安全更新,修复了多个可能导致代码执行、权限提升、数据篡改或拒绝服务的安全漏洞。这些修复覆盖Windows、Linux、vGPU和云游戏组件,涉及R580、R570和R535三个驱动分支。
受影响产品范围
安全公告列出了NVIDIA显示驱动和vGPU软件中的多个高危漏洞,影响消费级GeForce、专业级RTX/Quadro/NVS以及数据中心Tesla产品线。
关键漏洞详情
其中最严重的漏洞包括:
(CVE-2025-23309):NVIDIA显示驱动中存在"不受控的DLL加载路径可能导致任意拒绝服务、权限提升、代码执行和数据篡改"。该漏洞CVSS评分为8.2(高危),归类于CWE-427(不受控的搜索路径元素)。
(CVE-2025-23347):NVIDIA Project G-Assist中存在缺陷,允许本地攻击者"提升权限",可能导致"代码执行、权限提升、数据篡改、拒绝服务和信息泄露"。该漏洞CVSS评分为7.8(高危),归类于CWE-276(默认权限错误)。
(CVE-2025-23280)和(CVE-2025-23282):两个Linux驱动漏洞,攻击者可分别利用释放后使用和竞争条件问题,可能导致"代码执行、权限提升、数据篡改、拒绝服务和信息泄露"。两者CVSS评分均为7.0(高危)。
(CVE-2025-23345):视频解码器模块中的跨平台漏洞,"攻击者可能造成越界读取",导致"信息泄露或拒绝服务"。该漏洞被评为中危(CVSS 4.4),归类于CWE-125(越界读取)。
vGPU和云游戏环境更新
公告还包含针对NVIDIA vGPU软件和云游戏环境的更新。其中最严重的是影响虚拟GPU管理器的**(CVE-2025-23352)**:
"NVIDIA vGPU软件中的虚拟GPU管理器存在漏洞,恶意客户机可能导致未初始化指针访问",公告警告称,"成功利用...可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改"。
该问题影响运行XenServer、VMware vSphere、Red Hat Enterprise Linux KVM和Ubuntu的虚拟化环境。
补丁版本信息
修复版本现已在NVIDIA驱动下载和NVIDIA许可门户页面提供下载。
Windows驱动
| 产品 | 分支 | 受影响版本 | 修复版本 |
|---|---|---|---|
| GeForce/RTX/Quadro/NVS/Tesla | R580 | 581.42之前所有版本 | 581.42 |
| R570 | 573.76之前所有版本 | 573.76 | |
| R535 | 539.56之前所有版本 | 539.56 |
Linux驱动
| 产品 | 分支 | 受影响版本 | 修复版本 |
|---|---|---|---|
| GeForce/RTX/Quadro/NVS/Tesla | R580 | 580.95.05之前所有版本 | 580.95.05 |
| R570 | 570.195.03之前所有版本 | 570.195.03 | |
| R535 | 535.274.02之前所有版本 | 535.274.02 |
NVIDIA已同步更新vGPU客户机驱动和虚拟GPU管理器组件,确保Windows、Linux和云平台获得一致保护。
NVIDIA强烈建议用户立即更新至最新驱动以降低风险。这些补丁不仅能防范潜在攻击,还能确保游戏、AI和企业GPU工作负载的持续稳定性。
参考来源:
NVIDIA GPU Driver Patches Multiple High-Severity Flaws Risking RCE and Privilege Escalation
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)