NVIDIA GPU drayverlaridagi jiddiy zaifliklar tizim nazoratini qo‘lga kiritishga yo‘l ochadi
NVIDIA kompaniyasi o‘zining GPU Display Driver, vGPU dasturiy ta’minoti hamda HD Audio komponentlarida aniqlangan bir qator jiddiy zaifliklarni bartaraf etish uchun muhim xavfsizlik yangilanishini e’lon qildi. Ushbu zaifliklar hujumchiga tizimda zararli kod bajarish, imtiyozlarni oshirish (privilege escalation), ma’lumotlarni o‘zgartirish, xizmatdan voz kechish holatini (DoS) yuzaga keltirish va hatto maxfiy ma’lumotlarni qo‘lga kiritish imkonini berishi mumkin.
Zaifliklar 2026-yil 28-yanvarda oshkor qilingan bo‘lib, ular Windows va Linux platformalarida ishlovchi quyidagi NVIDIA mahsulotlariga ta’sir qiladi:
- GeForce
- RTX
- Quadro
- NVS
- Tesla
Eng xavfli zaifliklar: Use-After-Free va Integer Overflow
Aniqlangan zaifliklar orasida eng jiddiylari quyidagilar:
- CVE-2025-33217 — Windows Display Driver’da Use-After-Free (CWE-416) xatosi
- CVE-2025-33218 — Windows yadroviy modulida (nvlddmkm.sys) Integer Overflow (CWE-190) xatosi
Har ikkala zaiflik ham CVSS 7.8 (High) bahosiga ega bo‘lib, ularni ekspluatatsiya qilish uchun yuqori darajadagi ruxsat talab etilmaydi. Ya’ni, tizimga lokal kirish imkoniga ega bo‘lgan foydalanuvchi yoki zararli dastur ushbu nuqsonlardan foydalanishi mumkin.
Linux platformasida esa shunga o‘xshash zaiflik:
- CVE-2025-33219 — NVIDIA kernel modulida integer overflow xatosi
Bu zaiflik R590, R580, R570 va R535 reliz tarmoqlaridagi drayverlarga ta’sir qiladi.
vGPU va virtualizatsiya muhitlari uchun xavf
Yana bir jiddiy muammo CVE-2025-33220 bo‘lib, u NVIDIA’ning Virtual GPU Manager komponentida aniqlangan. Bu heap xotirada use-after-free xatosi bo‘lib, zararli virtual mashinaga (guest VM) gipervizor darajasiga chiqish imkonini berishi mumkin.
Bu esa quyidagi korporativ virtualizatsiya muhitlari uchun jiddiy xavf tug‘diradi:
- VMware vSphere
- XenServer
- Red Hat Enterprise Linux KVM
- Ubuntu KVM
Shuningdek, NVIDIA’ning Cloud Gaming infratuzilmasi ham aynan shu zaifliklar sababli xavf ostida qolgan.
HD Audio drayveridagi zaiflik
- CVE-2025-33237 — Windows HD Audio Driver’da NULL pointer dereference (CWE-476) xatosi aniqlangan.
- Bu zaiflik xizmatdan voz kechish (DoS) holatini keltirib chiqarishi mumkin.
Zaifliklarni kim aniqlagan?
Ushbu zaifliklar xavfsizlik tadqiqotchisi Kentaro Kawane tomonidan aniqlangan. Linux bilan bog‘liq zaiflik esa Sam Lovejoy va Valentina Palmiotti tomonidan xabar qilingan.
Qanday yangilash kerak?
NVIDIA foydalanuvchilarga zudlik bilan drayverlarni yangilashni tavsiya qilmoqda.
Windows uchun xavfsiz versiyalar:
- R590 → 591.59
- R580 → 582.16
- R570 → 573.96
- R535 → 539.64
Linux uchun xavfsiz versiyalar:
- R590 → 590.48.01
- R580 → 580.126.09
- R570 → 570.211.01
- R535 → 535.288.01
vGPU va Cloud Gaming foydalanuvchilari esa yangilanishlarni NVIDIA Licensing Portal orqali yuklab olishlari lozim.
Nega bu zaifliklar xavfli?
GPU drayverlari operatsion tizim yadrosi bilan bevosita ishlaydi. Shu sababli, ulardagi zaiflik oddiy dastur darajasidagi xatodan ko‘ra ancha xavfliroqdir. Hujumchi ushbu nuqsondan foydalansa:
- tizim ustidan to‘liq nazorat o‘rnatishi,
- xavfsizlik mexanizmlarini chetlab o‘tishi,
- virtual muhitdan gipervizorga chiqishi,
- butun infratuzilmani komprometatsiya qilishi mumkin.
Ayniqsa, serverlar, grafik stansiyalar, AI/ML hisoblash tugunlari va virtualizatsiya muhitlarida bu xavf yanada kattalashadi.
NVIDIA drayverlaridagi ushbu zaifliklar oddiy foydalanuvchi kompyuteridan tortib, yirik korporativ virtualizatsiya infratuzilmasigacha ta’sir ko‘rsatishi mumkin. GPU drayveri tizimning eng past — yadroviy qatlamida ishlagani bois, undagi har qanday nuqson butun tizim xavfsizligini izdan chiqaradi.
Shu sababli, NVIDIA qurilmalaridan foydalanuvchi barcha tashkilotlar va foydalanuvchilar drayverlarni zudlik bilan yangilashlari tavsiya etiladi. Kiberxavfsizlikda drayver yangilanishini kechiktirish — tizimni ochiq eshik bilan qoldirish bilan barobar.
