Produkt
sicherheit

NVIDIA nimmt Sicherheitsbedenken sehr ernst und arbeitet daran, diese schnell zu bewerten und darauf zu reagieren. Sobald Sicherheitsbedenken gemeldet werden, beauftragt NVIDIA die zuständigen Ressourcen, um eine Analyse und eine Bewertung bereitzustellen, damit die entsprechenden Maßnahmen zur Behebung des Problems getroffen werden können.

SICHERHEITSBERICHTE
SICHERHEITSRISIKO MELDEN
PSIRT-RICHTLINIEN
DANKSAGUNGEN
PGP-SCHLÜSSEL

Nachfolgend finden Sie eine Liste der veröffentlichten Sicherheitsberichte. NVIDIA rät dazu, den Empfehlungen in diesen Sicherheitsberichten in Hinblick auf Updates von Treibern oder Software-Paketen oder auf spezifische Fehlerbehebungen zu folgen.

Wir empfehlen unseren Kunden dringend, die NVIDIA-Sicherheitsberichte zu abonnieren, um direkt über neue NVIDIA-Sicherheitsberichte oder -Updates informiert zu werden. Sie können die Berichte hier abonnieren.

Weitere Informationen zu NVIDIA-Sicherheitsberichten finden Sie im Abschnitt zu Sicherheitsberichten auf der Seite der PSIRT-Richtlinien.

2018

Sicherheitsbericht-ID	Titel	CVEs	Erstveröffentlichung	Letzte Aktualisierung
4649	Security Bulletin: NVIDIA GPU Display Driver security updates for multiple vulnerabilities	CVE-2018-6251: Denial of service or code execution CVE-2018-6247, CVE-2018-6248, CVE-2018-6249, CVE-2018-6250: Denial of service or escalation of privileges CVE-2018-6252, CVE-2018-6253: Denial of service	03/28/2018	03/28/2018
4632	Security Bulletin: NVIDIA SHIELD Tablet security update for a Media Server vulnerability	CVE-2017-6276: Denial of service and escalation of privileges	03/22/2018	03/22/2018
4635	Security Bulletin: NVIDIA Jetson TX1, Jetson TK1, Jetson TX2, and Tegra K1 L4T security updates for multiple vulnerabilities	CVE-2017-0339: Code execution, denial of service or information disclosure CVE-2017-0328, CVE- 2017-6248: Denial of service CVE-2016-6776, CVE-2017-6274, CVE-2017-6275, CVE-2017-6276, CVE-2017-6278: Denial of service and escalation of privileges CVE-2017-6282: Escalation of privileges or information disclosure CVE-2017-6283, CVE-2017-0448: Information disclosure	03/20/2018	05/25/2018
4631	Sicherheitsbericht: NVIDIA SHIELD TV-Sicherheitsupdates für mehrere Schwachstellen	Denial of Service oder Rechteausweitung: CVE-2017-6279, CVE-2017-6281, CVE-2017-13175, CVE-2017-6276, CVE-2017-6296 Denial of Service oder Offenlegung von Daten: CVE-2017-6295 Rechteausweitung: CVE-2017-6282 Offenlegung von Daten: CVE-2017-6283, CVE-2017-6284	02/15/2018	02/15/2018
4610	Sicherheitsbericht: NVIDIA GeForce Experience-Sicherheitsupdates für Schwachstellen im Hinblick auf CPU-Seitenkanal-Spekulationen	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/09/2018	01/16/2018
4617	Sicherheitsbericht: NVIDIA Jetson TX2 L4T-Sicherheitsupdates für Schwachstellen im Hinblick auf CPU-Seitenkanal-Spekulationen	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/05/2018	02/06/2018
4616	Sicherheitsbericht: NVIDIA Jetson TX1-, Jetson TK1- und Tegra K1 L4T-Sicherheitsupdates für Schwachstellen im Hinblick auf CPU-Seitenkanal-Spekulationen	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/05/2018	02/06/2018
4614	Sicherheitsbericht: NVIDIA Shield TV-Sicherheitsupdates für Speculative Side Channels	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	04/01/2018	04/01/2018
4613	Sicherheitsbericht: NVIDIA Shield TV-Sicherheitsupdates für Speculative Side Channels	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	04/01/2018	04/01/2018
4611	Sicherheitsbericht: spekulative Ausführung bei bekannten Side Channels	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	04/01/2018	04/01/2018
4609	Sicherheitsbericht: Seitenkanal-Spekulationen	Offenlegung von Daten: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	03/01/2018	03/01/2018

2017

Sicherheitsbericht-ID	Titel	CVEs	Erstveröffentlichung	Letzte Aktualisierung
4601	Sicherheitsbericht: „KRACK“-Schwachstellen in NVIDIA Linux for Tegra (L4T)	„KRACK“-Schwachstellen: Rechteausweitung oder Offenlegung von Daten: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	20/12/2017	01/02/2018
4569	Security Bulletin: NVIDIA Shield Tablet contains multiple vulnerabilities; updates for “BlueBorne” and “KRACK”	Denial of service or possible escalation of privileges: CVE-2017-0331, CVE-2017-0340, CVE-2017-0744, CVE-2017-6247, CVE-2017-6248, CVE-2017-6249, CVE-2017-6258 "BlueBorne" vulnerabilities: Remote execution: CVE-2017-0781, CVE-2017-0782 Man-in-the-middle: CVE-2017-0783 Information disclosure: CVE-2017-0785 "KRACK" vulnerabilities: Escalation of privileges or information disclosure: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	30/11/17	30/11/17
4579	Security Bulletin: NVIDIA Shield TV contains updates for "KRACK" vulnerabilities	"KRACK" Vulnerabilities: Escalation of Privileges or Information Disclosure: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	01/11/17	01/11/17
4560	Security Bulletin: NVIDIA Tegra Jetson L4T contains multiple vulnerabilities; updates for "BlueBorne" and "Dnsmasq	Denial of service or escalation of privileges: CVE-2016-8482, CVE-2017-0307, CVE-2016-6777, CVE-2016-0834, CVE-2016-6775, CVE-2016-3815, CVE-2016-6776, CVE-2016-3847, CVE-2017-0428, CVE-2016-8424, CVE-2016-8425, CVE-2017-0331, CVE-2016-8430, CVE-2016-8428, CVE-2016-8427, CVE-2017-6273, CVE-2016-8395, CVE-2016-6789, CVE-2016-8400, CVE-2016-8449, CVE-2017-0332, CVE-2016-3930 Denial of service: CVE-2017-0306, CVE-2016-3814, CVE-2017-0326, CVE-2016-6915, CVE-2016-6916, CVE-2016-6917, CVE-2017-0327, CVE-2016-2491, CVE-2016-3793, CVE-2016-8426, CVE-2016-8429 Escalation of privileges: CVE-2017-0429, CVE-2016-2434, CVE-2016-3873, CVE-2017-0325 Information disclosure: CVE-2016-8397 "BlueBorne" Linux vulnerabilities: Remote execution: CVE-2017-0781, CVE-2017-0782 Man-in-the-middle: CVE-2017-0783 Information disclosure: CVE-2017-0785 "Dnsmasq" Linux vulnerabilities: Denial of service: CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14495, CVE-2017-14496 Information Disclosure: CVE-2017-14494	16/10/2017	17/10/2017
4560	Sicherheitsbericht: Der NVIDIA-Installer weist eine Schwachstelle in NVISystemService64 auf, die Auswirkungen auf GFE hat	CVE-2017-0316: Denial of Service oder Rechteausweitung	16/10/2017	16/10/2017
4549	Sicherheitsbericht: NVIDIA SHIELD TV weist mehrere Schwachstellen auf; Aktuelles zu „BlueBorne“	CVE-2017-6247, CVE-2017-6248, CVE-2017-6249, CVE-2017-6258: Denial of Service oder potenzielle Rechteausweitung CVE-2017-0326: Denial of Service „BlueBorne“-Schwachstellen bei Android™: CVE-2017-0781, CVE-2017-0782: Ausführung per Remote-Zugriff CVE-2017-0783: Man-in-the-Middle CVE-2017-0785: Offenlegung von Daten	05/10/2017	05/10/2017
4548	Sicherheitsbericht: NVIDIA SHIELD TV und Tablet weisen mehrere Schwachstellen auf	CVE-2016-6777, CVE-2016-6776, CVE-2016-8482, CVE-2017-0428: Denial of Service oder Rechteausweitung CVE-2016-6790, CVE-2016-6775, CVE-2016-2491, CVE-2016-6747: Denial of Service CVE-2016-6789: Rechteausweitung CVE-2016-8397: Offenlegung von Daten	27/09/2017	27/09/2017
4544	Sicherheitsbericht: Der NVIDIA-Grafikprozessor weist mehrere Schwachstellen im Handler der Kernelmodusschicht auf	CVE-2017-6268, CVE-2017-6269, CVE-2017-6277, CVE-2017-6272: Denial of Service oder Rechteausweitung CVE-2017-6266, CVE-2017-6267, CVE-2017-6270, CVE-2017-6271: Denial of Service	21/09/2017	25/09/2017
4525	Sicherheitsbericht: Der NVIDIA-Grafikprozessor weist mehrere Schwachstellen im Handler der Kernelmodusschicht auf.	Denial of Service oder Rechteausweitung: CVE-2017-6252, CVE-2017-6253, CVE-2017-6254, CVE-2017-6255, CVE-2017-6256, CVE-2017-6257 Denial of Service: CVE-2017-6259, CVE-2017-6260 Rechteausweitung: CVE-2017-6251	24/07/2017	25/09/2017
4490	Sicherheitsbericht: NVIDIA SHIELD TV und Tablet weisen mehrere Schwachstellen auf.	Denial of Service oder Rechteausweitung: CVE-2016-8400, CVE-2017-0331, CVE-2016-8395, CVE-2016-8424, CVE-2016-8425, CVE-2016-8427, CVE-2016-8428, CVE-2016-8430, CVE-2016-8429, CVE-2016-8449 Rechteausweitung: CVE-2017-0429 Offenlegung von Daten: CVE-2016-8460, CVE-2017-0448	14/06/2017	22/06/2017
4462	Sicherheitsbericht: Der NVIDIA-Grafiktreiber weist mehrere Schwachstellen im Handler der Kernelmodusschicht auf.	Denial of Service oder Rechteausweitung: CVE-2017-0341, CVE-2017-0342, CVE-2017-0343, CVE-2017-0345, CVE-2017-0346, CVE-2017-0347, CVE-2017-0348, CVE-2017-0349, CVE-2017-0351 Denial of Service: CVE-2017-0350, CVE-2017-0353, CVE-2017-0354, CVE-2017-0355 Rechteausweitung: CVE-2017-0344, CVE-2017-0352	05/09/2017	25/09/2017
4459	Sicherheitsbericht: NVIDIA GeForce Experience weist eine Schwachstelle in der Datei NVIDIA Web Helper.exe (repackaged Node.js) auf	CVE-2017-6250: Verstoß gegen die Richtlinie zur Ausführung von Anwendungen und Ausführung von lokalem Code	27/04/2017	27/04/2017
4456	Whitelisting von Anwendungen mit NVIDIA node.js	Umgehung des Whitelisting von Anwendungen: CVE-2017-6250	21/04/2017	21/04/2017
4398	Sicherheitsbericht: Der NVIDIA-Grafiktreiber weist mehrere Schwachstellen im Handler der Kernelmodusschicht auf.	Denial of Service oder Rechteausweitung: CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324 Denial of Service: CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320 Rechteausweitung: CVE-2017-0317	14/02/2017	30/05/2017

2016

Sicherheitsbericht-ID	Titel	CVEs	Erstveröffentlichung	Letzte Aktualisierung
4279	Sicherheitsbericht: Schwachstelle in NVIDIA Web Helper.exe wirkt sich auf NVIDIA GeForce Experience aus (CVE-2016-8827)	Offenlegung von Daten: CVE-2016-8827	14/12/2016	14/12/2016
4278	Der NVIDIA Windows-Grafiktreiber weist mehrere Schwachstellen im Handler der Kernelmodusschicht (nvlddmkm.sys) für DxgDdiEscape auf. Der Linux-Grafiktreiber weist eine Schwachstelle in der Kernelmodusschicht (nvidia.ko) auf	CVE-2016-8824, CVE-2016-8821: Rechteausweitung CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: Denial of Service oder potenzielle Rechteausweitung CVE-2016-8826: Denial of Service	14/12/2016	09/03/2017
4276	NVIDIA Shield weist mehrere Schwachstellen in nvhost_job.c auf	CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: Systemabsturz möglich	09/12/2016	09/12/2016
4267	NVIDIA Shield weist mehrere Schwachstellen im Mediaserver und im Kernel auf	CVE-2016-3847: Pufferüberlauf beim Schreiben CVE-2016-3815: Lesen aller Treiber mit vom Nutzer kontrollierter Länge CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: Schwachstelle durch vertikale Rechteausweitung CVE-2016-3793: Wettlaufsituation (durch Zugriff auf bereits freigegebenen Speicherbereich) CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: Offenlegung von Daten	30/11/2016	05/12/2016
4257	Der NVIDIA Windows-Grafiktreiber weist mehrere Schwachstellen im Handler der Kernelmodusschicht (nvlddmkm.sys) für DxgDdiEscape auf	CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818 und CVE-2016-8819: Denial of Service oder potenzielle Rechteausweitung CVE-2016-8820: Denial of Service oder Offenlegung von Daten	18/11/2016	09/03/2017
4246	Beim NVIDIA Linux-Grafiktreiber fehlen Berechtigungsprüfungen und er weist Schwachstellen bei der Validierung auf:	CVE-2016-7382 und CVE-2016-7389: Rechteausweitung	28/10/2016	09/03/2017
4247	Der NVIDIA Windows-Grafiktreiber weist mehrere Schwachstellen im Handler der Kernelmodusschicht (nvlddmkm.sys) auf. NVIDIA GeForce Experience weist eine Schwachstelle in der Kernelmodusschicht (nvstreamkms.sys) auf	Der NVIDIA Windows-Grafiktreiber weist mehrere Schwachstellen im Handler der Kernelmodusschicht (nvlddmkm.sys) auf: CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: Denial of Service oder potenzielle Rechteausweitung CVE-2016-7382: Rechteausweitung CVE-2016-7386: Leak von Inhalten des Kernelspeichers in den Benutzerraum aufgrund eines nicht initialisierten Buffers NVIDIA GeForce Experience weist eine Schwachstelle in der Kernelmodusschicht (nvstreamkms.sys) auf: CVE-2016-8812: Denial of Service oder Rechteausweitung	28/10/2016	09/03/2017
4247	NVIDIA GeForce Experience weist eine Schwachstelle in der Kernelmodusschicht (nvstreamkms.sys) auf.	Denial of Service oder Rechteausweitung: CVE-2016-8812	28/10/2016	03/09/2017
4213	Sicherheitsbericht: Mehrere Schwachstellen, die Windows-basierte Systeme mit Quadro, NVS und GeForce betreffen	CVE-2016-4959: Denial of Service auf Remote-Desktops CVE-2016-3161, CVE-2016-5852: Schwachstellen bei GFE GameStream und NVTray-Plugin durch Unquoted Service Path CVE-2016-4960: Vertikale Rechteausweitung bei NVStreamKMS.sys CVE-2016-4961: Denial of Service bei NVStreamKMS.sys (lokal authentifiziert) CVE-2016-5025: Schwachstelle durch Denial of Service bei NVAPI	19/08/2016	19/08/2016
4208	Schwachstellen bei Tegra Linux-Kerneltreibern	Ein lokaler Angreifer könnte die Schwachstellen in NVIDIA Tegra-Kerneltreibern ausnutzen, um Rechte auszuweiten oder eine Ausführung von willkürlichem Kernelcode herbeizuführen.	02/08/2016	02/08/2016
4059	CVE-2016-2556: Kernel driver escape can allow access to restricted functionality	Dieses Problem kann zu erhöhtem Risiko durch den Zugriff von Schadsoftware auf vertrauliche Ressourcen führen. Die Verwundbarkeit könnte für eine potenzielle Eskalierung der Vertraulichkeit ausgenutzt werden, was den Zugriff auf private Daten erlauben oder dazu führen könnte, dass Systemressourcen den Dienst verweigern.	21/03/2016	21/03/2016
4060	CVE-2016-2557: Kernel driver escape privileged memory access	Dieses Problem kann zu erhöhtem Risiko durch den Zugriff von Schadsoftware auf vertrauliche Ressourcen führen. Die Verwundbarkeit könnte für den Zugriff von nicht initialisiertem Speicher oder von Speicher außerhalb vorgegebener Grenzen ausgenutzt werden, was zur Offenlegung von Daten, zu Abstürzen oder zur Dienstverweigerung und zu einer potenziellen Eskalierung der Vertraulichkeit führen kann.	21/03/2016	21/03/2016
4061	CVE-2016-2558: Kernel driver escape allows untrusted pointer	Dieses Problem kann zu erhöhtem Risiko durch den Zugriff von Schadsoftware auf vertrauliche Ressourcen führen. Die Verwundbarkeit könnte für den Zugriff von nicht initialisiertem Speicher oder von Speicher außerhalb vorgegebener Grenzen ausgenutzt werden, was zur Offenlegung von Daten, zu Abstürzen oder zur Dienstverweigerung und zu einer potenziellen Eskalierung der Vertraulichkeit führen kann.	21/03/2016	21/03/2016

2015

Sicherheitsbericht-ID	Titel	CVEs	Erstveröffentlichung	Letzte Aktualisierung
3810	Google Android Stagefright Multimedia Vulnerabilities	Die Multimedia-Engine des Google Android Betriebssystems (Stagefright bzw. libstagefright) ist von mehreren Sicherheitslücken betroffen, durch die ein Remote-Angreifer mit höherstufigen Berechtigungen einen Denial-of-Service oder die Ausführung arbiträren Codes verursachen kann.	20/11/2015	20/11/2015
3806	CVE-2015-7866: NVIDIA CONTROL PANEL UNQUOTED PATH	Die NVIDIA Systemsteuerung ist unter Windows durch eine Unquoted-Path-Sicherheitslücke angreifbar, über die sich ein lokaler Angreifer höherstufige Berechtigungen verschaffen könnte.	18/11/2015	18/11/2015
3807	CVE-2015-7865: STEREOSCOPIC 3D DRIVER SERVICE ARBITRARY RUN KEY CREATION	Der 3D Vision Dienst nvSCPAPISvr.exe erstellt eine benannte Pipe, die eine Erteilung höherstufiger Berechtigungen ermöglichen kann. In Windows Domain-Umgebungen kann die Sicherheitslücke auch ausgenutzt werden, wenn der Angreifer Zugriff auf ein gültiges Benutzerkonto auf einem mit der Domäne verknüpften System hat.	18/11/2015	18/11/2015
3808	CVE-2015-7869: Unsanitized User Mode Input	Diese Hinweise betreffen eine Sicherheitslücke in der NVAPI Supportschicht von NVIDIA Grafiktreibern. Dieser Bericht enthält außerdem Hinweise zu Ganzzahlüberlauf-Problemen im zugrunde liegenden Kernel-Mode-Treiber.	18/11/2015	18/11/2015
3809	MICROSOFT DETOURS SECURITY UPDATE	Ein Bug in der Detours-Implementierung kann die Wirksamkeit bestimmter Sicherheitsmerkmale des Betriebssystems herabsetzen. NVIDIA veröffentlicht mit neuen Versionen eine aktualisierte Detours-Bibliothek, um das Problem zu beheben und NVIDIA Systeme auf den neuesten Stand mit den aktuellsten Microsoft Detours Patches zu bringen.	18/11/2015	18/11/2015
3802	Security Bulletin: CVE-2015-5053: GPU mappings of third-party device IO memory	Escalation of Privileges: CVE-2015-5053	11/09/2015	11/09/2015
3763	CVE-2015-5950 Speicherkorruption aufgrund eines unbereinigten Verweises im NVIDIA Bildschirmtreiber	Es wurde eine Sicherheitslücke im NVIDIA Treiber festgestellt, durch die ein lokaler, unberechtigter Anwender auf den Kernelspeicher zugreifen könnte. Dies könnte dazu genutzt werden, sich lokale Root-Rechte zu verschaffen.	25/09/2015	25/09/2015
3693	CVE-2015-3625: Privileg-Eskalation durch Dereferenzierung unbereinigter Zeiger durch den NVIDIA FreeBSD Kernel-Treiber	Der NVIDIA FreeBSD-Treiber auf Grafikprozessor-Kernelebene bereinigt Zeiger vor der Dereferenzierung nicht ausreichend vom Userspace.	19/06/2015	19/06/2015
4386	Sicherheitsbericht: Schwachstellen in Bash wirken sich auf NVIDIA Tegra Linux L4T aus	CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: Schwachstellen in Bash, als "Shellshock" bezeichnet.	03/03/2015	03/02/2017
3634	CVE-2015-1170: Identitätsprüfung für Windows-Berechtigungen	In manchen Fällen validiert die Kernel-Administratorprüfung des NVIDIA Grafiktreibers inkorrekte Identitätslevels auf dem lokalen Client.	02/03/2015	02/03/2015
3618	CVE-2014-5332: SCHWACHSTELLE IN DER NVMAP DES LINUX-KERNELS MIT TEGRA-PROZESSOR	Aufgrund einer vorübergehenden Use-after-free-Schwachstelle in der NVMap-Komponente ist es möglich, dass ein einzelnes festes Bit Daten in einer wiederverwendeten Speicherstruktur löscht. Damit sich ein Angreifer diese Lücke zu Nutze machen kann, muss er die Wettlaufsituation ausnutzen, die zwischen der Umwandlung des Dateideskriptors in einen Zeiger auf die Handle-Struktur (ein bestimmter Zeitpunkt) und der Erhöhung des Bezugszählers der Handle-Struktur (ein anderer Zeitpunkt) besteht, und die Handle-Speicherstruktur dazu zwingen, sich in einem Kernelprozess, in dem das feste Bit für den Missbrauch herangezogen werden kann, wiederverwenden zu lassen.	15/01/2015	15/01/2015

2014

Sicherheitsbericht-ID	Titel	CVEs	Erstveröffentlichung	Letzte Aktualisierung
3610	CVE-2014-8298: GLX-INDIRECT (Inklusive CVE-2014-8093, CVE-2014-8098)	Die Unterstützung von GLX-Indirect-Rendering auf NVIDIA Produkten ist von den kürzlich veröffentlichten X.Org-Schwachstellen (CVE-2014-8093, CVE-2014-8098) sowie von intern identifizierten Schwachstellen (CVE-2014-8298) betroffen.	09/12/2014	09/12/2014
3566	CVE-2014-0224: OpenSSL-Sicherheitslücke in GameStream	Die in die GameStream-Komponenten von GeForce Experience vor Version 2.1.1 und SHIELD Hub vor Version 3.2.18713345 eingebundene OpenSSL-Bibliothek ist von der kürzlich bekannt gewordenen Verwundbarkeit von OpenSSL und SSL/TLS gegenüber MITM-Angriffen (CVE-2014-0224) betroffen. Dadurch könnte ein Angreifer, dem es gelänge, diese Lücke auszunutzen, vertrauliche Daten über GameStream-Sitzungen, wie z. B. das Passwort des Benutzers, stehlen und die Daten der Sitzung verändern.	09/09/2014	09/09/2014
3492	CVE-2014-0160: GameStream OpenSSL Vulnerability.	Die OpenSSL-Bibliothek der GameStream-Komponente von GeForce Experience 2.0.0 ist von der kürzlich bekannt gewordenen Sicherheitslücke "Heartbleed" betroffen. Über diese Sicherheitslücke könnte ein Angreifer auf einem anderen Computer den Prozessspeicher des GameStream-Dienstes auslesen und möglicherweise vertrauliche Daten der GameStream-Sitzung wie das Benutzerpasswort stehlen oder zukünftige GameStream-Sitzung entschlüsseln.	29/04/2014	29/04/2014

2013

Sicherheitsbericht-ID	Titel	CVEs	Erstveröffentlichung	Letzte Aktualisierung
3377	CVE-2013-5987: Risiko eines unbefugten Zugriffs auf den Grafikprozessor	Aufgrund eines Bugs des NVIDIA Grafiktreibers besteht das Risiko, dass unberechtigte Anwender-Software unbefugt auf den Grafikprozessor zugreifen kann. Über diese Schwachstelle könnte ein Angreifer die Kontrolle über das betroffene System übernehmen.	02/12/2013	02/12/2013
3290	CVE-2013-0131: Pufferüberlauf durch ARGB-Cursor bei NVIDIA UNIX Grafikprozessortreiber im "NoScanout" Modus	Beim Betrieb des NVIDIA Treibers für das X Window System im "NoScanout" Modus bewirkt der Treiber einen Pufferüberlauf, wenn ein X-Client einen ARGB-Cursor installiert, der größer als erwartet ist (64x64 bzw. 256x256, je nach Treiberversion). Dies kann zu einem Denial of Service führen (zum Beispiel einem Segmentierungsfehler des X-Servers) oder für die Ausführung von arbiträren Codes ausgenutzt werden. Da der X-Server in vielen Konfigurationen als Setuid Root läuft, könnte ein Angreifer diese Anfälligkeit in diesen Konfigurationen nutzen, um sich Root-Rechte zu verschaffen.	02/04/2013	02/04/2013
3288	CVE-2013-0109: Schwachstelle des NVIDIA Displaytreiberdienstes	Aufgrund eines Problems des NVIDIA Treibers können Angreifer durch Erzwingen von Ausnahmen und Überschreiben des Speichers ihre Berechtigungen eventuell erweitern, um als Administrator die Kontrolle über das System zu übernehmen. Die Schwachstelle steht im Zusammenhang mit dem NVIDIA Displaytreiberdienst und betrifft NVIDIA Treiber für Windows Betriebssysteme (Windows XP/Windows Vista/Windows 7/Windows 8 - 32 & 64-Bit) ab Treiberversion 173.	22/02/2013	22/02/2013
3288	CVE-2013-0110: Schwachstelle des NVIDIA Stereo 3D-Treiberdienstes	NVIDIA hat ein Problem mit dem NVIDIA Stereo 3D-Treiberdienst (nvSCPAPISvr.exe) verifiziert, das Angreifern eventuell ermöglicht, durch Einfügen einer ausführbaren Datei in den Pfad des betroffenen Dienstes Berechtigungen lokal zu erweitern. In diesem Fall beruht das Problem darauf, dass der Dienst einen Dienstpfad ohne Anführungszeichen verwendet, der mindestens ein Leerzeichen enthält.	22/02/2013	22/02/2013
3288	CVE-2013-0111: Schwachstelle des NVIDIA Update Service Daemons	NVIDIA hat ein Problem mit dem NVIDIA Update Service Daemon (daemonu.exe) verifiziert, das Angreifern eventuell ermöglicht, durch Einfügen einer ausführbaren Datei in den Pfad des betroffenen Dienstes Berechtigungen lokal zu erweitern. In diesem Fall beruht das Problem darauf, dass der Dienst einen Dienstpfad ohne Anführungszeichen verwendet, der mindestens ein Leerzeichen enthält.	22/02/2013	22/02/2013
3140	CVE-2012-4225: NVIDIA UNIX graphics driver Vulnerability	NVIDIA UNIX graphics drivers before 295.71 and before 304.32 allows local users to write to arbitrary physical memory locations and gain privileges by modifying the VGA window using /dev/nvidia0.	02/08/2012	20/02/2013
3109	CVE-2012-4225: Schwachstelle des NVIDIA UNIX Grafiktreibers	NVIDIA UNIX Grafiktreiber vor Version 295.71 und vor Version 304.32 ermöglichen lokalen Anwendern das Schreiben auf beliebige Speicherorte des physischen Speichers und die Erweiterung von Berechtigungen durch die Modifikation des VGA-Fensters mithilfe von /dev/nvidia0.	04/04/2012	06/08/2012
1971	CVE-2012-0946: Sicherheitsschwachstelle des NVIDIA UNIX Treibers	Aufgrund dieser Schwachstelle können Angreifer mit Lese- und Schreibzugriff auf die Grafikprozessorknoten den Grafikprozessor neu konfigurieren, um Zugriff auf beliebigen Systemspeicher zu erhalten.	18/10/2006	20/02/2013

Wenn Sie ein Sicherheitsproblem melden möchten, nutzen Sie die unten aufgeführten Kontaktmöglichkeiten:

Frage	NVIDIA-Kontaktperson oder -Ressource
Wie melde ich ein Sicherheitsproblem auf einer NVIDIA-Webseite?	E-Mail an das Application Security-Team senden
Wie melde ich ein potenzielles Sicherheitsrisiko in einem NVIDIA-Produkt?	OEM-Partner sollten sich an ihren Customer Program Manager wenden. NVIDIA empfiehlt, die Bekanntgabe von Sicherheitsrisiken über das Product Security Incident Response Team (PSIRT) zu koordinieren. Sicherheitsforscher, Branchengruppen, Behörden und Anbieter können potenzielle Sicherheitsrisiken dem NVIDIA PSIRT melden, entweder über das entsprechende Formular oder per E-Mail*.
Wie kann ich NVIDIA Feedback zu seinen Produkten oder Services zukommen lassen?	Auf der Website des NVIDIA-Supports
Wo erhalte ich technischen Support für mein NVIDIA-Produkt?	Auf der Website des NVIDIA-Supports
Wo kann ich mehr über Sicherheits-Updates für NVIDIA-Produkte erfahren?	Weitere Informationen zu NVIDIA-Sicherheitsberichten finden Sie im Abschnitt „Sicherheitsberichte“ auf der Seite der PSIRT-Richtlinien.
Wie kann ich E-Mails, Websites oder Pop-up-Fenster melden, in denen fälschlicherweise behauptet wird, sie stammen von NVIDIA?	Auf der Website des NVIDIA-Supports
Wie melde ich den Missbrauch der Produkte und Services von NVIDIA zu böswilligen oder illegalen Zwecken?	Auf der Website des NVIDIA-Supports
Wie melde ich Softwarepiraterie (das Kopieren, Verkaufen oder die Verwendung von Software, die nicht ordnungsgemäß lizenziert ist)?	Auf der Website des NVIDIA-Supports

*Wenn Sie ein potenzielles Sicherheitsrisiko per E-Mail melden, verschlüsseln Sie bitte Ihre Nachricht mithilfe des öffentlichen PGP-Schlüssels (mehr dazu auf der Seite „PGP Key“) von NVIDIA und geben Sie folgende Informationen an:

Produkt-/Treibername und Version/Zweig, in dem das Sicherheitsrisiko entdeckt wurde
Art des Sicherheitsrisikos (XSS, Pufferüberlauf usw.)
Anleitung zum Rekonstruieren des Sicherheitsrisikos
Wirksamkeitsnachweis oder Exploit-Code
Potenzielle Auswirkung des Sicherheitsrisikos, einschließlich Informationen darüber, wie ein Angreifer das Sicherheitsrisiko ausnutzen könnte

Inhalt

NVIDIA PSIRT – Sicherheitsrisiko-Management
Melden potenzieller Sicherheitsrisiken
Coordinated Vulnerability Disclosure (Koordinierte Offenlegung des Sicherheitsrisikos)
Abonnieren von Sicherheitsberichten und Updates
Medien- oder PR-Anfragen zu Informationen über Sicherheitsrisiken bei NVIDIA
NVIDIA PSIRT Sicherheitsrisiko-Managementprozess
Bewertung des Sicherheitsrisikos mithilfe des Common Vulnerability Scoring Systems (CVSS)
Richtlinie zur Bereitstellung von Informationen über Sicherheitsrisiken
Sicherheitsberichte
Sicherheitshinweis
Behebung von Sicherheitsrisiken
Kundenrechte: Garantien, Support und Wartung
Haftungsausschluss

NVIDIA PSIRT – Sicherheitsrisiko-Management

Das NVIDIA Product Security Incident Response Team (PSIRT) hat sich zum Ziel gemacht, das mit Sicherheitsrisiken verbundene Kundenrisiko zu minimieren, indem es für zeitnahe Informationen, Orientierungshilfen und die Behebung von Sicherheitsrisiken in unseren Produkten sorgt. NVIDIA PSIRT ist ein weltweit agierendes Team, das für Entgegennahme, Untersuchung, interne Koordination und Behebung von Sicherheitsrisiken sowie für die Weitergabe von Informationen zu Sicherheitsrisiken in Bezug auf NVIDIA-Produkte verantwortlich ist.

Eine der Hauptaufgaben von NVIDIAs PSIRT ist die Koordination der Reaktionen und die Offenlegung aller extern identifizierten Sicherheitsrisiken in NVIDIA-Produkten.

Melden eines potenziellen Sicherheitsrisikos

NVIDIA begrüßt Berichte von unabhängigen Forschern, Branchenorganisationen, Zulieferern, Kunden und anderen Quellen, die Bedenken in Bezug auf die Produktsicherheit haben.

Weitere Informationen dazu, wie Sie ein potenzielles Sicherheitsrisiko melden können, finden Sie auf der Seite „Report Vulnerability“ (Sicherheitsrisiko melden).

Koordinierte Offenlegung von Sicherheitsrisiken

NVIDIA ist bestrebt, die Coordinated Vulnerability Disclosure (Koordinierte Offenlegung von Sicherheitsrisiken, CVD) einzuhalten. CVD ist ein Prozess, bei dem unabhängige Personen, die ein Sicherheitsrisiko in unserem Produkt entdecken, NVIDIA direkt kontaktieren können. Dies ermöglicht es uns, das Sicherheitsrisiko zu untersuchen und zu beheben, bevor die meldende Person diese Information an die Öffentlichkeit weitergibt.

NVIDIA PSIRT steht während der Untersuchung des Sicherheitsrisikos in Kontakt mit der meldenden Person. Diese erhält entsprechend aktualisierte Fortschrittsberichte, sofern dieses Vorgehen als angemessen erachtet wird. Hat die meldende Person zugestimmt, kann NVIDIA PSIRT sie auf unserer Anerkennungsseite nennen und erwähnen, dass diese Person ein begründetes Sicherheitsrisiko in unserem Produkt entdeckt und uns dieses Problem vertraulich gemeldet hat. Wenn die Kunden geschützt sind, steht es der meldenden Person anschließend frei, dieses Thema öffentlich zu diskutieren.

Die Einhaltung der CVD von NVIDIA ermöglicht es uns, unsere Kunden zu schützen und gleichzeitig öffentliche Offenlegungen zu koordinieren und den meldenden Personen für ihre Entdeckung entsprechend zu danken.

Wenn ein gemeldetes Sicherheitsrisiko ein Lieferantenprodukt betrifft, benachrichtigt das PSIRT von NVIDIA den Lieferanten direkt, stimmt sich mit der meldenden Person ab oder engagiert ein externes Koordinationscenter.

Sicherheitsberichte und -Updates abonnieren

Die Liste der veröffentlichten Sicherheitsberichte finden Sie auf der Seite „Security Bulletin“ (Sicherheitsberichte) von NVIDIA.

Wir empfehlen unseren Kunden dringend, die NVIDIA-Sicherheitsberichte zu abonnieren, um direkt über neue NVIDIA-Sicherheitsberichte oder -Updates informiert zu werden.

Sie können die Berichte hier abonnieren.

Weitere Informationen zu NVIDIA-Sicherheitsberichten finden Sie im Abschnitt Sicherheitsberichte in diesem Dokument.

Medien oder PR-Anfragen zu Informationen über NVIDIA-Sicherheitsrisiken

Wenden Sie sich bitte an einen der hier aufgeführten Corporate Communications-Kontakte.

NVIDIA PSIRT Sicherheitsrisiko-Managementprozess

Die folgende Grafik stellt den NVIDIA PSIRT-Prozess auf einem hohen Niveau dar.

Abb. 1: Prozess des NVIDIA Product Security Incident Response Teams (PSIRT)

Bewertung von Sicherheitsrisiken mithilfe des Common Vulnerability Scoring Systems (CVSS)

NVIDIA nutzt derzeit das Common Vulnerability Scoring System, Version 3.0 (CVSS v3.0), um den Schweregrad von identifizierten Sicherheitsrisiken zu ermitteln. CVSS aktiviert ein allgemeines Bewertungsverfahren und eine gemeinsame Sprache, um die Eigenschaften und Auswirkungen von Sicherheitsrisiken zu kommunizieren. CVSS versucht, das von einem Sicherheitsrisiko ausgehende Gefahrenpotenzial zu ermitteln. Das CVSS-Modell bezieht sich dabei auf drei unterschiedliche Messwerte oder Bewertungen. Dazu zählen Basisberechnung sowie temporäre und ökologische Berechnungen, die jeweils aus einem Metriksatz bestehen. Den vom Forum of Incident Response and Security Teams (FIRST) vorgegebenen Vollstandard finden Sie unter: https://www.first.org/cvss .

NVIDIA wendet die CVSS v3.0 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) an, um die in der folgenden Tabelle aufgeführten Schweregradbewertungen festzulegen:

Schweregradbewertung	CVSS-Wert
Kritisch	9,0–10,0
Hoch	7,0–8,9
Mittel	4,0–6,9
Niedrig	1–3,9
Keine	0.0

NVIDIA behält sich das Recht vor, in bestimmten Fällen von diesen Richtlinien abzuweichen, wenn zusätzliche Faktoren in der CVSS-Bewertung nicht korrekt erfasst wurden.

Sofern zutreffend, enthalten die NVIDIA-Sicherheitsberichte die CVSS v3.0-Basisbewertung und die potenzielle temporäre Bewertung. Die NVIDIA-Risikobewertung basiert auf einem durchschnittlichen Risiko in mehreren installierten Systemen und spiegelt u. U. nicht das tatsächlich geltende Risiko in Ihrer lokalen Installation wider.

NVIDIA empfiehlt Ihnen, einen Sicherheits- bzw. IT-Spezialisten zu konsultieren, um das Risiko für Ihre spezielle Konfiguration zu bestimmen. Darüber hinaus sollten Sie die ökologische Bewertung basierend auf Ihren Netzwerkparametern berechnen. NVIDIA empfiehlt allen Kunden, die Basisbewertung und alle temporären und/oder ökologischen Bewertungen zu berücksichtigen, die für die Ermittlung des allgemeinen Risikos für ihre Umgebung relevant sein könnten. Diese Gesamtbewertung stellt einen bestimmten Zeitpunkt dar und ist auf Ihre spezielle Umgebung zugeschnitten. Lassen Sie dieses Problem durch einen Sicherheits- oder IT-Spezialisten auswerten und nutzen Sie diese abschließende Bewertung, um die Reaktionsreihenfolge in Ihrer eigenen Umgebung festzulegen.

Richtlinie zur Bereitstellung von Informationen über Sicherheitsrisiken

NVIDIA verwendet die folgenden Richtlinien für Softwarerisiken von Nicht-Dritten, um den entsprechenden Kommunikationsplan zu bestimmen:

Schweregradbewertung	CVSS-Wert	Kommunikationsplan
Kritisch	9,0-10,0	NVIDIA-Sicherheitsbericht
Hoch	7,0-8,9
Mittel	4,0-6,9
Niedrig	3,9 oder weniger	Produktversionshinweis

Besteht ein Sicherheitsproblem mit einer Softwarekomponente von Drittanbietern, die in einem NVIDIA-Produkt verwendet wird, veröffentlicht NVIDIA ggf. einen Sicherheitsbericht. Wird ein Sicherheitsbericht für ein Sicherheitsrisiko bei einer Softwarekomponente eines Drittanbieters veröffentlicht, wendet NVIDIA normalerweise die CVSS-Bewertung an, die vom Hersteller der Komponente bereitgestellt wurde. In einigen Fällen passt NVIDIA u. U. die CVSS-Bewertung an, um die Auswirkung auf das NVIDIA-Produkt wiederzugeben.

NVIDIA behält sich das Recht vor, in bestimmten Fällen von diesen Richtlinien abzuweichen, wenn zusätzliche Faktoren in der CVSS-Bewertung nicht korrekt erfasst wurden.

Sicherheitsberichte

In den meisten Fällen sieht NVIDIA vor, seine Kunden zu informieren, wenn es eine praktische Problemumgehung oder eine Lösung für ein Sicherheitsrisiko gibt. Die Benachrichtigung erfolgt mittels zielgerichteter Kommunikationen oder durch die Veröffentlichung von Sicherheitsberichten auf der Seite „Security Bulletin“ (Sicherheitsberichte). Wird ein Sicherheitsbericht veröffentlicht, erfolgt dies, nachdem NVIDIA PSIRT den Reaktionsprozess auf das Sicherheitsrisiko abgeschlossen und sichergestellt hat, dass ausreichend Software-Patches oder Problemumgehungen zur Verfügung stehen bzw. dass eine nachfolgende öffentliche Offenlegung von Codefehlerbehebungen geplant ist, um die Sicherheitsrisiken zu beseitigen.

Sicherheitsberichte sollen das richtige Gleichgewicht an Informationen enthalten, indem sie ausreichend Details bereitstellen, damit Kunden die entsprechenden Sicherheitsmaßnahmen treffen können. Sie sollen jedoch keine ausführlichen Informationen umfassen, damit böswillige Nutzer die Informationen nicht ausnutzen können. NVIDIA-Sicherheitsberichte enthalten in der Regel folgende Informationen (wo zutreffend):

Betroffene Produkte und Versionen
Common Vulnerability Enumeration (CVE)-Kennung für das Sicherheitsrisiko (siehe http://cve.mitre.org)
Kurze Beschreibung des Sicherheitsrisikos und potenzielle Auswirkung, wenn dieses Risiko ausgenutzt wird
Common Vulnerability Scoring System (CVSS)-Schweregradbewertung des Sicherheitsrisikos (siehe http://www.first.org/cvss/cvss-guide.html)
Einzelheiten zur Problemlösung wie Upgrades, Korrekturen, Problementschärfungen oder andere Kundenaktionen
Danksagung an die Person, die das identifizierte Sicherheitsrisiko gemeldet hat, und Anerkennung für die Zusammenarbeit mit NVIDIA bei der Koordinierten Darstellung des Sicherheitsrisikos

NVIDIA stellt keine zusätzlichen Informationen zu den Einzelheiten der Sicherheitsrisiken als die bereit, welche bereits im Sicherheitsbericht und in zugehörigen Dokumentationen wie Versionshinweisen, Artikeln aus der Wissensdatenbank, FAQs, usw. enthalten sind. NVIDIA gibt keine Exploit-Codes bzw. Wirksamkeitsnachweise für identifizierte Sicherheitsrisiken weiter.

Gemäß den branchenüblichen Praktiken gibt NVIDIA Erkenntnisse aus internen Sicherheitstests oder anderen Formen von Sicherheitsaktionen nicht an externe Entitäten weiter. Es sei darauf hingewiesen, dass sämtliche Scans von NVIDIA-Sicherheitsproduktionssystemen als Angriff gewertet werden. Wenn Sie OEM-Partner sind, koordinieren Sie Ihren Bedarf bitte mit Ihrem NVIDIA-Programm-Manager.

NVIDIA-Sicherheitsberichte werden auf der Seite „Security Bulletin“ (Sicherheitsberichte) veröffentlicht. Sie können die Berichte hier abonnieren.

Sicherheitshinweis

NVIDIA veröffentlicht u. U. eine spezielle Kommunikation, um schnell und angemessen auf öffentliche Offenlegungen eines Sicherheitsrisikos zu reagieren, das bereits umfassende öffentliche Aufmerksamkeit erregt hat und für das Exploits wahrscheinlich vorhanden sind bzw. für das eine aktive Ausnutzung erwartet wird. In so eine Fall kann NVIDIA die Kommunikation forcieren, die ggf. einen vollständigen Satz von Patches oder Problemumgehungen enthält. Eine derartige Meldung wird als Sicherheitshinweis bezeichnet und auf der Seite „Security Bulletin“ (Sicherheitsberichte) veröffentlicht.

Behebung von Sicherheitsrisiken

NVIDIA nimmt Sicherheitsbedenken sehr ernst und arbeitet daran, diese zeitnah zu bewerten und darauf zu reagieren. Reaktionszeitleisten hängen von vielen Faktoren ab (z. B. Schweregrad, betroffenes Produkt, aktueller Entwicklungszyklus und QA-Zyklen) sowie davon, ob das Problem nur mit einer wichtigen neuen Version behoben werden kann.

Die Problembehebung kann eine oder mehrere der folgenden Formen annehmen:

Eine neue Version
Ein von NVIDIA bereitgestellter Patch
Anweisungen zum Herunterladen und Installieren eines Updates oder Patches von einem Drittanbieter

Eine Problemumgehung zur Minderung des Sicherheitsrisikos

Kundenrechte: Garantien, Support und Wartung

Die Rechte von NVIDIA-Kunden in Bezug auf Garantien sowie Support und Wartung, einschließlich Sicherheitsrisiken, werden für sämtliche NVIDIA-Softwareprodukte von der anwendbaren Vereinbarung zwischen NVIDIA und jedem einzelnen Kunden geregelt.

Die Erklärungen auf dieser Webseite ändern oder erweitern keine bestehenden Kundenrechte und schaffen keine zusätzlichen Garantien. Sämtliche an NVIDIA weitergegebene Informationen in Bezug auf Sicherheitsrisiken in NVIDIA-Produkten, einschließlich sämtliche Informationen in einem Schwachstellenbericht zu einem bestimmten Produkt, werden zu alleinigen Informationen von NVIDIA.

Haftungsausschluss

Sämtliche Aspekte des PSIRT-Prozesses und Richtlinien von NVIDIA können jederzeit und ohne vorherige Ankündigung von Fall zu Fall geändert werden. Es besteht keine Garantie auf Rückmeldung zu speziellen Problemen oder Problemgruppen. Die Verwendung von Informationen aus diesem Dokument oder der in diesem Dokument verlinkten Materialien unterliegt Ihrer eigenen Verantwortung. NVIDIA behält sich das Recht vor, dieses Dokument jederzeit und ohne vorherige Ankündigung zu ändern.

ALLE INFORMATIONEN, DESIGNSPEZIFIKATIONEN, REFERENZKARTEN, DATEIEN, ZEICHNUNGEN, DIAGNOSEN, LISTEN UND SONSTIGEN DOKUMENTE VON NVIDIA (ZUSAMMEN ODER EINZELN ALS „MATERIALIEN“ BEZEICHNET) WERDEN „WIE BESEHEN“ BEREITGESTELLT. NVIDIA GEWÄHRT IN BEZUG AUF DIE MATERIALIEN KEINE GARANTIEN – WEDER AUSDRÜCKLICH, IMPLIZIERT, GESETZLICH VORGESCHRIEBEN ODER AUF SONSTIGE WEISE. ALLE AUSDRÜCKLICHEN ODER IMPLIZIERTEN BEDINGUNGEN, REPRÄSENTATIONEN UND GARANTIEN, EINSCHLIESSLICH ALLER IMPLIZIERTEN GARANTIEN ODER VERPFLICHTUNGEN, MARKTGÄNGIGKEIT, ZUFRIEDENSTELLENDE QUALITÄT, TAUGLICHKEIT FÜR EINEN BESTIMMTEN ZWECK UND NICHT-VERLETZUNG SIND HIERMIT UND SOWEIT GESETZLICH ZULÄSSIG AUSGESCHLOSSEN.

Die in diesem Artikel genannten Informationen sind nach bestem Wissen und Gewissen zutreffend und verlässlich. Die NVIDIA Corporation übernimmt jedoch keinerlei Verantwortung für Konsequenzen, die aus der Nutzung dieser Informationen entstehen, bzw. für Patentrechtsverletzungen oder andere Verstöße gegen die Rechte Dritter, die aus einer solchen Nutzung entstehen. Es wird weder impliziert noch anderweitig eine Lizenz im Rahmen eines Patents oder eines Patentanspruchs der NVIDIA Corporation gewährt. Die in diesem Artikel genannten Spezifikationen können sich jederzeit ohne weitere Ankündigung ändern. Dieser Artikel löst alle eventuell vorab bereitgestellten Informationen ab und ersetzt diese. Ohne die ausdrückliche vorherige schriftliche Genehmigung der NVIDIA Corporation dürfen Produkte der NVIDIA Corporation nicht als missionskritische Komponenten in lebenserhaltenden Geräten oder Systemen eingesetzt werden.

NVIDIA empfiehlt, die Bekanntgabe von Sicherheitsrisiken über das Formular zum Melden von Sicherheitsrisiken zu koordinieren.

NVIDIA dankt den folgenden Personen und Organisationen für ihre Unterstützung bei unserem Bestreben, unsere Produkte sicherer zu machen.

2017

Sicherheitsbericht-ID	CVE(s)	Danksagungen
4561	CVE-2017-0306 CVE-2016-6915 CVE-2016-6916 CVE-2016-6917	Nathan Crandall, Product Security Team von Tesla Motors
4560	CVE-2017-0316	Tim Harrison
4544	CVE-2017-6269 CVE-2017-6270 CVE-2017-6271	Enrique Nissim, IOActive
4525	CVE-2017-6256	Enrique Nissim, IOActive
4525	CVE-2017-6259	Andrei Lascu und Alastair Donaldson, Multicore Programming Group am Imperial College London
4398	CVE-2017-0312 CVE-2017-0313	Oliver Chang, Google Project Zero
4398	CVE-2017-0317	Ryan Whitworth
N/A	N/A	Kushal Arvind Shah, FortiGuard Labs bei Fortinet
N/A	N/A	Tim Harrison

2016

Sicherheitsbericht-ID	CVE(s)	Danksagungen
4279	CVE-2016-8827	Oden Schmit
4278	CVE-2016-8822	Oliver Chang, Google Project Zero
4278	CVE-2016-8823	Piotr Bania, Cisco Talos
4276	CVE-2016-6915 CVE-2016-6916 CVE-2016-6917	Nathan Crandall, Product Security Team von Tesla Motors
4267	CVE-2016-3847 CVE-2016-3848	Nathan Crandall, Product Security Team von Tesla Motors
4267	CVE-2016-3793	Peter Pi, Trend Micro
4267	CVE-2016-3815	Scott Bauer
4267	CVE-2016-3844	Chiachih Wu, CORE Team
4267	CVE-2016-3844	Mingjian Zhou, CORE Team
4267	CVE-2016-3844	Xuxian Jiang, CORE Team
4267	CVE-2016-3873	Sagi Kedmi, Forscher für IBM Security X-Force
4267	CVE-2016-6688 CVE-2016-6677 CVE-2016-6687 CVE-2016-6686 CVE-2016-3930	Jianqiang Zhao
4267	CVE-2016-6688 CVE-2016-6677 CVE-2016-6687 CVE-2016-6686 CVE-2016-3930	PJF, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4267	CVE-2016-3933	Mingjian Zhou, CORE Team
4267	CVE-2016-3933	Chiachih Wu, CORE Team
4267	CVE-2016-3933	Xuxian Jiang, CORE Team
4247	CVE-2016-8805 CVE-2016-8806 CVE-2016-8807 CVE-2016-8808 CVE-2016-8809 CVE-2016-8810 CVE-2016-8811 CVE-2016-8812 CVE-2016-7391 CVE-2016-7387 CVE-2016-7385 CVE-2016-7390 CVE-2016-7384 CVE-2016-7386	Oliver Chang, Google Project Zero
4213	CVE-2016-4959	Tripwire VERT
4213	CVE-2016-3161 CVE-2016-5852	Alin Ghica
4213	CVE-2016-4960 CVE-2016-4961	Joseph Bialek, Microsoft Vulnerability Research
4213	CVE-2016-5025	Daniel Cornel
4208	CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2445 CVE-2016-2446	Jianqiang Zhao, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4208	CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2445 CVE-2016-2446	PJF, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4208	CVE-2016-2437	Yuan-Tsung Lo, CORE Team
4208	CVE-2016-2437	Lubo Zhang, CORE Team
4208	CVE-2016-2437	Chiachih Wu, CORE Team
4208	CVE-2016-2437	Xuxian Jiang, CORE Team

2015

Sicherheitsbericht-ID	CVE(s)	Danksagungen
3810	CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829 CVE-2015-3864	Joshua J. Drake, Zimperium
3809	No CVE	McAfee/Intel Security in Zusammenarbeit mit NIVIDA
3808	CVE-2015-7869	Axel Monroy, Intel, in cooperation with NIVIDA
3808	CVE-2015-7869	Nikita Tarakanov, Intel in Zusammenarbeit mit NIVIDA
3806	CVE-2015-7866	Wesley Daniels
3802	CVE-2015-5053	Mellanox Technologies in Zusammenarbeit mit NIVIDA
3763	CVE-2015-5950	Dario Weisser
3634	CVE-2015-1170	James Forshaw, Google Project Zero

2014

Sicherheitsbericht-ID	CVE(s)	Danksagungen
3618	CVE-2014-5332	Lee Campbell, Google Chrome Security
3610	CVE-2014-8093 CVE-2014-8098	Adam Jackson
3610	CVE-2014-8093 CVE-2014-8098	Alan Coopersmith
3610	CVE-2014-8298	Robert Morell, NVIDIA

2013

Sicherheitsbericht-ID	CVE(s)	Danksagungen
3377	CVE-2013-5987	Marcin Kościelnicki, X.Org Foundation Nouveau Project

Öffentlicher PGP-Schlüssel von NVIDIA zu Kommunikationszwecken.

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: PGP Universal 3.4.2 (Build 289)
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=aOdk
-----END PGP PUBLIC KEY BLOCK-----