총 7개의 취약점이 있으며, 그중 2개는 심각도가 높습니다.
Nvidia는 GPU 디스플레이 드라이버 및 VGPU 소프트웨어 업데이트를 통해 총 일곱 가지 보안 취약점을 해결했습니다. 이 중 두 가지는 정보 노출, 데이터 변조, 서비스 거부(denial of service)가 가능한 고심각도 취약점이며, 특히 고심각도 vGPU 소프트웨어 문제의 경우 코드 실행(code execution)까지 가능하게 합니다. Windows 환경에서는 553.62 버전보다 이전의 모든 GPU 드라이버 버전, 그리고 R550 및 R535 브랜치의 경우 각각 539.19 버전 이전의 모든 버전이 취약합니다.
GPU 디스플레이 드라이버 보안 게시판에 따르면, Nvidia는 다섯 가지 특정 취약점을 다루고 있다고 밝혔습니다. 가장 낮은 심각도의 취약점인 CVE-2024-0149는 Linux 드라이버의 무단 파일 접근과 관련되며, 이는 정보 노출로 이어질 수 있습니다.
두 가지 중간 심각도의 메모리 관련 취약점인 CVE-2024-0147과 CVE-2024-53869는 각각 Windows 또는 Linux에서 메모리 해제 후 참조(Use-After-Free)하거나, Linux 특정 미초기화 메모리 누수(uninitialized memory leak)를 유발하는 것과 관련이 있습니다. CVE-2024-0147의 미패치 시 서비스 거부 및 데이터 변조가 발생할 수 있으며, CVE-2024-53869는 정보 노출을 유발할 수 있습니다.
(한편, Nvidia는 심각한 팬 제어 버그를 수정한 GeForce 595.71 드라이버도 출시했으며, 최근 또 다른 Windows 업데이트가 전 세계 게이밍 장치에 혼란을 초래하고 있다는 내용도 보고되었습니다.)
마지막으로, 메인 GPU 드라이버 측면에서는 Windows 및 Linux용 GPU 드라이버 보안 업데이트를 통해 두 가지 버퍼 관련 취약점, 즉 중간 심각도의 CVE-2024-0131과 고심각도의 CVE-2024-0150이 다뤄지고 있습니다.
CVE-2024-0131은 잘못된 길이의 버퍼를 읽게 하여 서비스 거부 공격을 허용합니다. 이에 비해 CVE-2024-0150은 훨씬 심각한데, 데이터가 버퍼의 범위를 벗어나거나 이후에 잘못 기록되는(오버플로우) 문제를 악용할 수 있어 정보 노출, 데이터 변조, 서비스 거부까지 초래할 수 있습니다.
VGPU 소프트웨어 측면에서는 두 가지 취약점, 고심각도의 CVE-2024-0146과 중간 심각도의 CVE-2024-53881이 존재합니다. 후자는 번호가 더 커 보여 보이지만, 실제로는 게스트가 호스트에서 인터럽트 스톰을 유발하여 서비스 거부만 일으키는 취약점입니다. 더 우려되는 것은 고심각도의 CVE-2024-0146으로, 이 취약점은 익스플로잇을 통해 GPU의 메모리를 손상시킬 수 있으며, 광범위한 서비스 거부, 정보 노출, 데이터 변조는 물론 코드 실행까지 가능하게 합니다.
다행히 이러한 모든 취약점들은 최신 드라이버 업데이트를 통해 해결되었습니다. Windows의 경우, 사용 중인 Nvidia 드라이버 브랜치에 따라 553.62 또는 539.19 버전 이상이면 됩니다. 이미 GeForce Experience가 설치되어 있다면, 곧 드라이버 업데이트 설치를 하라는 자동 안내가 표시될 것입니다. 수동으로 업데이트를 적용하거나 더 상세한 설치를 원할 경우, Nvidia 공식 드라이버 다운로드 페이지를 이용하시기 바랍니다.