Security

製品情報

NVIDIA製品のセキュリティー

NVIDIAは、セキュリティーの問題を深刻に受け止めており、迅速に評価し、対応するように努めています。セキュリティー上の懸念が報告されたら直ちに、NVIDIAは、その問題に対処するための是正措置を分析・検証・提供するために、適切なリソースをつぎ込みます。NVIDIAは、製品関連の脆弱性および是正措置が適切に開示されるように、セキュリティー情報機関と提携しています。


NVIDIAにセキュリティー上の懸念を通知する


NVIDIA製品およびサービスに関連するセキュリティー上の懸念は、こちらから報告することができます。全ての報告は、NVIDIA製品セキュリティーチームによって監視されており、引き続きやり取りが必要な場合には、弊社のセキュリティー専門家からご連絡いたします。

ご注意: 製品のテクニカルサポートは、ウェブ形態またはここに列記されているEメール機構を介してご利用いただくことはできません。

NVIDIA製品に対するテクニカルサポートのご用命については、弊社のNVIDIA Support Websiteをご覧ください。
*NVIDIAのテクニカルサポートは英語のみです。


セキュリティーの通知


このリストには、存在する可能性があるセキュリティー上の脆弱性が要約されています。これらの問題は、最新のNVIDIAドライバをアップデートすることによって解決されます。

概要 最初に報告された日 最後にアップデートされた日
Google Android Stagefrigh マルチメディア脆弱性
Google Android オペレーティングシステムのマルチメディア エンジンは Stagefright (または libstagefright) として知られていますが、リモートアタッカーが高い権限を得てサービス拒否や勝手なコードを実行できる複数の脆弱性の影響を受けています。
11/20/2015 11/20/2015
CVE-2015-7866: NVIDIA コントロールパネルの引用されないパス
Windows 上の NVIDIA コントロールパネルが引用されないパスの脆弱性の影響を受けています。ローカルアタッカーが影響を受けた高い権限を得る恐れがあります。
11/18/2015 11/18/2015
CVE-2015-7865: 立体的な 3D ドライバーサービスが勝手にキー生成を実行
3D ビジョンサービスの nvSCPAPISvr.exe が名前付きパイプを作成し、他のユーザーのセッションで勝手なコマンドラインの実行を許可して、高い権限を得る恐れがあります。Windows ドメイン環境では、アタッカーがドメインで接続した1台のマシンで有効なユーザーアカウントへのアクセスを得た場合に、マシン間の脆弱性を悪用することができます。
11/18/2015 11/18/2015
CVE-2015-7869: サニタイズされていないユーザーモード入力
この警告は NVIDIA GPU グラフィックスドライバーの NVAPI サポート層にあるセキュリティーの脆弱性に関連します。この報告書には、下層にあるカーネルモード ドライバー内の整数オーバーフロー問題に関連した警告についての説明もあります。
11/18/2015 11/18/2015
MICROSOFT DETOURS セキュリティアップデート
Detours を導入した際のバグに、フックしたプロセスモジュールのヘッダーを変更して、読み取り | 実行のみだったヘッダーに書き込み機能を追加することで、一部のオペレーティングシステムのセキュリティ機能の有効性を減らす可能性を持つものがあります。
NVIDIA ではこの問題を解決して、NVIDIA システムを最新の Microsoft Detours パッチレベルと同じにするため、現在のビルドに対する最新の Detours ライブラリを再公開しています。
11/18/2015 11/18/2015
CVE-2015-5053: サードパーティデバイスの IO メモリへの GPU マッピング
脆弱性を悪用され、デアロケーション フェーズを通り越して、GPU がサードパーティデバイスの IO メモリにアクセスする可能性があります。この結果、サービス拒否(デバイスが無効な要求で埋め尽くされる)に至るか、サードパーティデバイスの特権を必要とする IO 空間へのアクセスに使用される可能性があります。
11/09/2015 11/09/2015
CVE-2015-5950 NVIDIA ディスプレイドライバー内の不適切なポインタによるメモリ破損
NVIDIA ドライバーにおいて脆弱性が検出されました。ローカルの権限を持たないユーザーによって、カーネルメモリを破損するために使用される恐れがあります。ローカルルートの権限を得るために使用される恐れがあります。
09/25/2015 09/25/2015
CVE-2015-3625: NVIDIA FreeBSD カーネルドライバでのサニタイズされていないポインタ逆参照による特権昇格
FreeBSD 向けの NVIDIA GPU カーネルレベルドライバが、間接参照の前に、ユーザー空間からポインタを適切にサニタイズしません。
06/19/2015 06/19/2015
CVE-2015-1170: Windows 特権の偽装チェック
NVIDIAのディスプレイドライバのカーネル管理者チェックでは、場合によりローカルクライアントの偽装レベルを正しく検証しないことがあります。
03/02/2015 03/02/2015
CVE-2014-5332: TEGRA LINUX カーネル NVMAP の脆弱性
NVMap コンポーネントの一時的な開放済みメモリ使用 (use-after-free) の脆弱性が原因で、 固定シングルビットにより、リサイクル済みのメモリ構造の中のデータが消去されてしまいます。攻撃者がこの脆弱性を利用するには、処理用構造ポインター (時間内に1ポイント)へのFDの変換と、処理用構造の参照カウントのインクリメント (時間内にもう1ポイント) の間に存在する競合状態を利用すること、および固定ビットが利用できるカーネルプロセスで処理メモリ構造をリサイクルできるようにすることが必要です。
01/15/2015 01/15/2015
CVE-2014-8298: GLX-INDIRECT (Including CVE-2014-8093, CVE-2014-8098)
The GLX indirect rendering support supplied on NVIDIA products is subject to the recently disclosed X.Org vulnerabilities (CVE-2014-8093, CVE-2014-8098) as well as internally identified vulnerabilities (CVE-2014-8298).
12/09/2014 12/11/2014
CVE-2014-0224: GameStream OpenSSL の脆弱性
2.1.1 以前の GeForce Experience と 3.2.18713345 以前の SHIELD Hub の GameStream コンポーネントに含まれる OpenSSL ライブラリは、最近開示された OpenSSL SSL/TLS MITM の脆弱性 (CVE-2014-0224) の対象となります。結果として、ハッカーがこの脆弱性を利用して、ユーザーのパスワードを含むGameStream セッションの機密データを盗んだり、改ざんしたりする可能性があります。
09/09/2014 09/09/2014
CVE-2013-5987: GPUの権限のないアクセスに関する脆弱性
NVIDIA のグラフィックスドライバのバグが原因で、権限のないユーザモードのソフトウェアがGPU に不適切にアクセスすることが可能となってしまいます。攻撃者がこの脆弱性を利用した場合、影響を受けたシステムがコントロールされます。
12/2/2013 12/2/2013
CVE-2013-0131: 「NoScanout」モードにおけるNVIDIA UNIX GPUドライバARGBカーソルのバッファオーバーフローについて
X Window System用のNVIDIAドライバが「NoScanout」モードで起動しいている際、Xクライアントは予想よりも大容量のARGBカーソルをインストールし (64x64または256x256、ドライバのバージョンにより異なる)、ドライバはバッファオバーフローを起こします。これは、サービス拒否(例、Xサーバのセグメンテーション障害)の原因となったり、任意のコード実行にまで広がる可能性があります。多くの構成において、Xサーバはsetuid rootとして動くため、攻撃者は所有者(root)の特権を得るためにこの脆弱性を潜在的に利用することが考えられます。
4/2/2013 4/2/2013
CVE-2013-0109 NVIDIA Display Driver Serviceの脆弱性
NVIDIAドライバで特定された問題のために、悪意あるアクターが、システムの管理支配を得るために、例外を強制し、メモリを上書きすることによって、特権を昇格させる可能性があります。この脆弱性は、NVIDIA Display Driver Serviceに付随しており、Windowsオペレーティングシステム用のNVIDIAドライバ(Windows XP/Windows Vista/Windows 7/Windows 8 – 32および64ビット)に影響を及ぼします。リリース173以降のドライバに見られます。
2/22/2013 2/22/2013
CVE-2013-0110 NVIDIA Stereoscopic 3D Driver Serviceの脆弱性
NVIDIAは、NVIDIA Stereoscopic 3D Driver Service (nvSCPAPISvr.exe)に伴う問題を確認いたしました。これにより、悪意あるアクターが、影響を受けたサービスのパス内に実行可能なファイルを挿入することによって、ローカルに特権を昇格できるようにする可能性があります。明らかとなった具体的な問題は、当該サービスが少なくとも1つの空白を含む引用されていないサービスパスを使用したことです。
2/22/2013 2/22/2013
CVE-2013-0111 NVIDIA Update Service Daemonの脆弱性
NVIDIAは、NVIDIA Update Service Daemon (daemonu.exe)に伴う問題を確認いたしました。これにより、悪意あるアクターが、影響を受けたサービスのパス内に実行可能なファイルを挿入することによって、ローカルに特権を昇格できるようにする可能性があります。明らかとなった具体的な問題は、当該サービスが少なくとも1つの空白を含む引用されていないサービスパスを使用したことです。
2/22/2013 2/22/2013
CVE-2012-4225 NVIDIA UNIX graphics driverの脆弱性
295.71より前および304.32より前のNVIDIA UNIXグラフィックドライバは、ローカルユーザが、/dev/nvidia0を使用してVGAウィンドウを変更することによって、任意の物理メモリ位置に書き込み、特権を取得できるようにします。
8/2/2012 2/20/2013
CVE-2012-0946 NVIDIA UNIXドライバ内のセキュリティーの脆弱性
この脆弱性は、GPUデバイスのノードへのアクセスを読み書きした攻撃者が任意のシステムメモリへのアクセスを得るために、GPUを再設定できるようにします。
4/4/2012 8/6/2012
CVE-2006-5379 NVIDIA UNIXグラフィックドライバーの脆弱性
NVIDIA Binary Graphics Driver (binary blob driver) For Linux v8774およびv8762のレンダリング機能の高速化によって、ローカルおよび遠隔の攻撃者は、任意のメモリ位置を上書きするために使用できるフォント・グリフ中の大きなwidth値を介して任意のコードを実行できるようになります。
10/18/2006 2/20/2013