Nvidia libera correções para as falhas Meltdown e Spectre

A NVIDIA está fornecendo uma atualização de segurança inicial para mitigar aspectos da publicação do Google Project Zero.
Veja os detalhes nessa matéria.

NVIDIA Driver Security Updates

A NVIDIA está fornecendo uma atualização de segurança inicial para mitigar aspectos da publicação do Google Project Zero em 3 de janeiro de 2018 de novos ataques de divulgação de informações que combinam a execução especulativa da CPU com canais laterais conhecidos.

Acreditamos que o nosso hardware GPU é imune ao problema de segurança relatado. Quanto ao nosso software de driver, estamos fornecendo atualizações para ajudar a mitigar o problema de segurança da CPU.

A vulnerabilidade possui três variantes conhecidas:

Variante 1 (CVE-2017-5753): as atenuações da CPU são fornecidas com a atualização de segurança incluída neste boletim. A NVIDIA espera trabalhar em conjunto com seus parceiros do ecossistema em futuras atualizações para fortalecer as atenuações das CPUs afetadas.

Variante 2 (CVE-2017-5715): a análise inicial da NVIDIA indica que o software NVIDIA em execução em CPUs afetadas pode exigir mais atualizações. NVIDIA espera trabalhar em conjunto com seus parceiros do ecossistema nesta variante.

Variant 3 (CVE-2017-5754): Nessa altura, a NVIDIA não tem motivos para acreditar que o software NVIDIA seja vulnerável a esta variante quando executado em CPUs afetadas.

Para atualizações e informações adicionais, monitore ativamente a página NVIDIA Product Security.

Detalhes da vulnerabilidade

As seguintes seções resumem as vulnerabilidades. As descrições são publicadas no MITRE e as avaliações de risco seguem CVSS.

CVE-2017-5753
Os sistemas de computador com microprocessadores que utilizam a execução especulativa e a previsão de ramificação podem permitir a divulgação não autorizada de informações a um invasor com acesso local ao usuário através de uma análise de canais laterais.
Pontuação Base CVSS: 8,2
CVSS: CVSS: 3.0 / AV: A / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: N

CVE-2017-5715
Os sistemas de computador com microprocessadores que utilizam a execução especulativa e a predição de ramo indireta podem permitir a divulgação não autorizada de informações a um invasor com acesso local ao usuário através de uma análise de canais laterais.
Pontuação Base CVSS: 8,2
CVSS: CVSS: 3.0 / AV: A / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: N

CVE-2017-5754
Os sistemas de computador com microprocessadores que utilizam a execução especulativa podem permitir a divulgação não autorizada de informações a um invasor com acesso local ao usuário através de uma análise de canal lateral do cache de dados.
CVSS Base Score: 7,9
CVSS: CVSS: 3.0 / AV: L / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: N

A avaliação de risco da NVIDIA é baseada em uma média de risco em um conjunto diversificado de sistemas instalados e pode não representar o verdadeiro risco de sua instalação local. A NVIDIA recomenda consultar um profissional de segurança ou de TI para avaliar o risco de sua configuração específica.

Produtos atualizados

Atualizações de segurança para as Vulnerabilidades especulativas do canal paralelo da CPU

O driver do Linux contém atualizações para manter a compatibilidade com atualizações recentes do Linux para este problema de segurança.

Se você estiver usando versões de driver anteriores dos produtos afetados, atualize para uma versão de driver suportado que contenha a atualização conforme listado nas tabelas para Windows e Linux.

Fonte

Distribuições GNU/Linux

Para garantir o recebimento das correções em seu sistema operacional, mantenha o mesmo sempre atualizado.