Seguridad de
productos

NVIDIA se toma muy en serio las amenazas para la seguridad y se esfuerza para evaluarlas y neutralizarlas rápidamente. Cuando se notifica una amenaza para la seguridad, NVIDIA pone en marcha los recursos necesarios para analizar, validar y aportar las acciones correctivas que permitan resolver el problema.

BOLETINES DE SEGURIDAD
NOTIFICAR VULNERABILIDAD
POLÍTICAS PSIRT
AGRADECIMIENTOS
CLAVE PGP

La siguiente lista incluye los boletines de seguridad publicados. NVIDIA recomienda seguir las recomendaciones de estos boletines relativas a las actualizaciones de controladores y paquetes de software o a las mitigaciones indicadas.

Se recomienda a los clientes que se suscriban a las notificaciones de boletines de seguridad de NVIDIA para estar informados de las novedades y revisiones principales en materia de seguridad. Puedes suscribirte a las notificaciones aquí.

Para obtener información sobre los boletines de seguridad de NVIDIA, consulta la sección Boletín de seguridad de la página Políticas PSIRT.

2019

ID del boletín de seguridad	Tratamiento	Potencial vulnerabilidad de seguridad	CVE	Fecha de Publicación	Última Actualización
4907	Security Bulletin: NVIDIA GPU Display Driver - November 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código o divulgación de información	CVE‑2019‑5690, CVE-2019-2019-5691, CVE-2019-5692, CVE-2019-5693, CVE-2019-5694, CVE-2019-5695, CVE-2019-5696, CVE-2019-5697, CVE-2019-5698	11/6/2019	11/26/2019
4907	Security Bulletin: NVIDIA GPU Display Driver - November 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código o divulgación de información	CVE‑2019‑5690, CVE-2019-2019-5691, CVE-2019-5692, CVE-2019-5693, CVE-2019-5694, CVE-2019-5695, CVE-2019-5696, CVE-2019-5697, CVE-2019-5698	11/6/2019	11/26/2019
4680	Security Bulletin: NVIDIA GeForce Experience - November 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código o divulgación de información	CVE‑2019‑5701, CVE-2019-2019-5689, CVE-2019-5695	11/6/2019	11/6/2019
4928	Security Bulletin: NVIDIA NVFlash, GPUModeSwitch Tool - November 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código	CVE‑2019‑5688	11/6/2019	11/14/2019
4875	Security Bulletin: NVIDIA SHIELD TV - October 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código o divulgación de información	CVE‑2019‑5699, CVE‑2019‑5700	10/7/2019	10/7/2019
4804	Boletín de seguridad: NVIDIA SHIELD TV - Agosto de 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código	CVE‑2019‑5679, CVE‑2018‑6267, CVE‑2018‑6268, CVE‑2018‑6269, CVE‑2019‑5680, CVE‑2019‑5681, CVE‑2019‑5682, CVE‑2018‑6241, CVE‑2017‑6275, CVE-2018-6240	8/2/2019	9/23/2019
4841	Boletín de seguridad: controlador de pantalla de GPU NVIDIA - Agosto de 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código	CVE‑2019‑5683, CVE‑2019‑5684, CVE‑2019‑5685, CVE‑2019‑5686, CVE‑2019‑5687	8/2/2019	8/29/2019
4835	Boletín de seguridad: NVIDIA Jetson TX1 y Jetson Nano L4T - Julio de 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código	CVE‑2019‑5680	7/18/2019	7/29/2019
4806	Boletín de seguridad: NVIDIA GeForce Experience - Mayo de 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código o divulgación de información	CVE‑2019‑5678, CVE‑2019‑5676	5/30/2019	5/30/2019
4797	Boletín de seguridad: controlador de pantalla de GPU NVIDIA - Mayo de 2019	Denegación de servicio, escalamiento de privilegios, ejecución de código o divulgación de información	CVE‑2019‑5675, CVE‑2019‑5676, CVE‑2019‑5677	5/9/2019	5/30/2019
4787	Boletín de seguridad: actualizaciones de seguridad de NVIDIA Jetson TK1 y Jetson TX2 L4T - abril de 2019	Denegación de servicio, elevación de privilegios, ejecución de código o divulgación de información	CVE-2019-5673, CVE-2019-5672, CVE-2018-6271, CVE-2018-6269, CVE-2018-6268, CVE-2018 6267, CVE-2018-3665, CVE-2018-3639, CVE-2018-6239, CVE-2017-6284, CVE-2017-6278, CVE 2017-6274, CVE-2017-0330	4/2/2019	4/2/2019
4784	Boletín de seguridad: NVIDIA GeForce Experience (marzo de 2019)	Denegación de servicio, elevación de privilegios, ejecución de código	CVE-2019-5674	3/26/2019	3/27/2019
4772	Boletín de seguridad: controlador de pantalla de GPU NVIDIA: febrero de 2019	Denegación de servicio, elevación de privilegios, ejecución de código o divulgación de información	CVE-2019-5665, CVE-2019-5666, CVE-2019-5667, CVE-2019-5668, CVE-2019-5669, CVE-2019-5670, CVE-2019-5671, CVE-2018-6260	02/22/2019	02/28/2019

2018

ID del boletín de seguridad	Tratamiento	Potencial vulnerabilidad de seguridad	CVE	Fecha de Publicación	Última Actualización
4740	Boletín de seguridad: NVIDIA GeForce Experience (noviembre de 2018)	Elevación de privilegios o divulgación de información	CVE-2018-6263, CVE‑2018‑6265, CVE‑2018‑6266	11/19/2018	11/19/2018
4738	Aviso de seguridad: respuesta de NVIDIA a "Rendered Insecure: GPU Side Channel Attacks are Practical", noviembre de 2018	Divulgación de información	CVE-2018-6260	11/09/2018	11/09/2018
4704	Boletín de seguridad: NVIDIA SHIELD TV (octubre de 2018)	Elevación de privilegios o divulgación de la información	CVE-2017-5715, CVE-2017-6289, CVE-2017-6293, CVE-2018-6246	10/16/2018	10/16/2018
4725	Boletín de seguridad: NVIDIA GeForce Experience (septiembre de 2018)	Denegación de servicio, elevación de privilegios o divulgación de información	CVE 2018-6261, CVE-2018-6262	09/27/2018	09/27/2018
4685	Boletín de seguridad: actualizaciones de seguridad del software NVIDIA GeForce Experience para varias vulnerabilidades al tener habilitado GameStream	Elevación de privilegios, denegación de servicio o divulgación de información	CVE-2018-6257, CVE-2018-6258, CVE-2018-6259	08/30/2018	08/30/2018
4682	Boletín de seguridad: actualizaciones de seguridad del software de NVIDIA SHIELD TV para varias vulnerabilidades	Ejecución de código, denegación de servicio, escalamiento de privilegios o divulgación de información	CVE-2017-6290, CVE-2017-6292, CVE-2017-6294	06/28/2018	09/14/2018
4660	Aviso de seguridad: vulnerabilidad de NVIDIA Tegra RCM	Ejecución de código, elevación de privilegios o divulgación de información	CVE-2018-6242	04/24/2018	04/24/2018
4649	Boletín de seguridad: actualizaciones de seguridad del controlador de pantalla de GPU NVIDIA para varias vulnerabilidades	Denegación de servicio, ejecución de código, elevación de privilegios	CVE-2018-6247, CVE-2018-6248, CVE-2018-6249, CVE-2018-6250, CVE-2018-6251, CVE-2018-6252, CVE-2018-6253	03/28/2018	03/28/2018
4632	Boletín de seguridad: actualización de seguridad de NVIDIA SHIELD Tablet para una vulnerabilidad de servidor multimedia	Denegación de servicio o elevación de privilegios	CVE-2017-6276	03/22/2018	03/22/2018
4635	Boletín de seguridad: actualizaciones de seguridad de NVIDIA Jetson TX1, Jetson TK1, Jetson TX2 y Tegra K1 L4T para varias vulnerabilidades	Ejecución de código, denegación de servicio, divulgación de información o elevación de privilegios	CVE-2016-6776, CVE-2017-0328, CVE-2017-0339, CVE-2017-0448, CVE- 2017-6248, CVE-2017-6274, CVE-2017-6275, CVE-2017-6276, CVE-2017-6278, CVE-2017-6282, CVE-2017-6283	03/20/2018	06/08/2018
4631	Boletín de seguridad: actualizaciones de seguridad de NVIDIA SHIELD TV para varias vulnerabilidades	Denegación de servicio, elevación de privilegios o divulgación de información	CVE-2017-6279, CVE-2017-6281, CVE-2017-6276, CVE-2017-6282, CVE-2017-6283, CVE-2017-6284, CVE-2017-6296, CVE-2017-6295, CVE-2017-13175	02/15/2018	02/15/2018
4610	Boletín de seguridad: actualizaciones de seguridad de NVIDIA GeForce Experience para vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/09/2018	01/16/2018
4617	Boletín de seguridad: actualizaciones de seguridad de NVIDIA Jetson TX2 L4T para vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/05/2018	03/13/2018
4616	Boletín de seguridad: actualizaciones de seguridad de NVIDIA Jetson TX1, Jetson TK1 y Tegra K1 L4T para vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/05/2018	06/08/2018
4614	Boletín de seguridad: actualizaciones de seguridad de NVIDIA Shield Tablet para vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/04/2018	03/22/2018
4613	Boletín de seguridad: actualizaciones de seguridad de NVIDIA Shield TV para vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/04/2018	01/31/2018
4611	Boletín de seguridad: actualizaciones de seguridad del controlador NVIDIA para vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/04/2018	02/14/2018
4609	Aviso de seguridad: vulnerabilidades de canales laterales de ejecución especulativa	Divulgación de información	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754	01/03/2018	01/03/2018

2017

ID del boletín de seguridad	Tratamiento	CVE	Fecha de Publicación	Última Actualización
4601	Boletín de seguridad: vulnerabilidades de NVIDIA Linux for Tegra (L4T) "KRACK"	Vulnerabilidades de "KRACK": Elevación de privilegios o revelación de información:CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088	20/12/2017	02/01/2018
4569	Security Bulletin: NVIDIA Shield Tablet contains multiple vulnerabilities; updates for "BlueBorne" and "KRACK"	Denial of service or possible escalation of privileges: CVE-2017-0331, CVE-2017-0340, CVE-2017-0744, CVE-2017-6247, CVE-2017-6248, CVE-2017-6249, CVE-2017-6258 "BlueBorne" vulnerabilities: Remote execution: CVE-2017-0781, CVE-2017-0782 Man-in-the-middle: CVE-2017-0783 Information disclosure: CVE-2017-0785 "KRACK" vulnerabilities: Escalation of privileges or information disclosure: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	30/11/17	30/11/17
4579	Security Bulletin: NVIDIA Shield TV contains updates for "KRACK" vulnerabilities	"KRACK" Vulnerabilities: Escalation of Privileges or Information Disclosure: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	01/11/17	01/11/17
4560	Security Bulletin: NVIDIA Tegra Jetson L4T contains multiple vulnerabilities; updates for "BlueBorne" and "Dnsmasq	Denial of service or escalation of privileges: CVE-2016-8482, CVE-2017-0307, CVE-2016-6777, CVE-2016-0834, CVE-2016-6775, CVE-2016-3815, CVE-2016-6776, CVE-2016-3847, CVE-2017-0428, CVE-2016-8424, CVE-2016-8425, CVE-2017-0331, CVE-2016-8430, CVE-2016-8428, CVE-2016-8427, CVE-2017-6273, CVE-2016-8395, CVE-2016-6789, CVE-2016-8400, CVE-2016-8449, CVE-2017-0332, CVE-2016-3930 Denial of service: CVE-2017-0306, CVE-2016-3814, CVE-2017-0326, CVE-2016-6915, CVE-2016-6916, CVE-2016-6917, CVE-2017-0327, CVE-2016-2491, CVE-2016-3793, CVE-2016-8426, CVE-2016-8429 Escalation of privileges: CVE-2017-0429, CVE-2016-2434, CVE-2016-3873, CVE-2017-0325 Information disclosure: CVE-2016-8397 "BlueBorne" Linux vulnerabilities: Remote execution: CVE-2017-0781, CVE-2017-0782 Man-in-the-middle: CVE-2017-0783 Information disclosure: CVE-2017-0785 "Dnsmasq" Linux vulnerabilities: Denial of service: CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14495, CVE-2017-14496 Information Disclosure: CVE-2017-14494	16/10/2017	17/10/2017
4560	Boletín de seguridad: El instalador de NVIDIA contiene una vulnerabilidad en NVISystemService64 que afecta a GFE	CVE-2017-0316: Denegación de servicio u obtención de privilegios	16/10/2017	16/10/2017
4549	Boletín de seguridad: NVIDIA Shield TV contiene varias vulnerabilidades; actualización sobre "BlueBorne"	CVE-2017-6247, CVE-2017-6248, CVE-2017-6249, CVE-2017-6258: Denegación de servicio o posible obtención de privilegios CVE-2017-0326: Denegación de servicio Vulnerabilidades "BlueBorne" de Android™: CVE-2017-0781, CVE-2017-0782: Ejecución remota CVE-2017-0783: Man-in-the-middle CVE-2017-0785: Revelación de información	05/10/2017	05/10/2017
4548	Boletín de seguridad: NVIDIA Shield TV y Tablet contienen varias vulnerabilidades	CVE-2016-6777, CVE-2016-6776, CVE-2016-8482, CVE-2017-0428: Denegación de servicio u obtención de privilegios CVE-2016-6790, CVE-2016-6775, CVE-2016-2491, CVE-2016-6747: Denegación de servicio CVE-2016-6789: Obtención de privilegios CVE-2016-8397: Revelación de información	27/09/2017	27/09/2017
4544	Boletín de seguridad: La GPU NVIDIA contiene varias vulnerabilidades en el controlador de la capa de modo kernel	CVE-2017-6268, CVE-2017-6269, CVE-2017-6277, CVE-2017-6272: Denegación de servicio u obtención de privilegios CVE-2017-6266, CVE-2017-6267, CVE-2017-6270, CVE-2017-6271: Denegación de servicio	21/09/2017	25/09/2017
4525	Boletín de seguridad: La GPU NVIDIA contiene varias vulnerabilidades en el controlador de la capa de modo kernel.	Denegación de servicio u obtención de privilegios: CVE-2017-6252, CVE-2017-6253, CVE-2017-6254, CVE-2017-6255, CVE-2017-6256, CVE-2017-6257 Denegación de servicio: CVE-2017-6259, CVE-2017-6260 Obtención de privilegios: CVE-2017-6251	24/07/2017	25/09/2017
4490	Boletín de seguridad: NVIDIA Shield TV y Tablet contienen varias vulnerabilidades.	Denegación de servicio u obtención de privilegios: CVE-2016-8400, CVE-2017-0331, CVE-2016-8395, CVE-2016-8424, CVE-2016-8425, CVE-2016-8427, CVE-2016-8428, CVE-2016-8430, CVE-2016-8429, CVE-2016-8449 Obtención de privilegios: CVE-2017-0429 Revelación de información: CVE-2016-8460, CVE-2017-0448	14/06/2017	22/06/2017
4462	Boletín de seguridad: El controlador de pantalla para GPU NVIDIA contiene varias vulnerabilidades en el controlador de la capa de modo kernel.	Denegación de servicio u obtención de privilegios: CVE-2017-0341, CVE-2017-0342, CVE-2017-0343, CVE-2017-0345, CVE-2017-0346, CVE-2017-0347, CVE-2017-0348, CVE-2017-0349, CVE-2017-0351 Denegación de servicio: CVE-2017-0350, CVE-2017-0353, CVE-2017-0354, CVE-2017-0355 Obtención de privilegios: CVE-2017-0344, CVE-2017-0352	05/09/2017	25/09/2017
4459	Boletín de seguridad: NVIDIA GeForce Experience contiene una vulnerabilidad en NVIDIA Web Helper.exe (Node.js reempaquetado)	CVE-2017-6250: Infracción de la política de ejecución de aplicaciones y ejecución de código local	27/04/2017	27/04/2017
4456	Incluir aplicaciones en la lista blanca mediante NVIDIA node.js	Burla de la lista de aplicaciones seguras: CVE-2017-6250	21/04/2017	21/04/2017
4398	Boletín de seguridad: El controlador de pantalla para GPU NVIDIA contiene varias vulnerabilidades en el controlador de la capa de modo kernel.	Denegación de servicio u obtención de privilegios: CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324 Denegación de servicio: CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320 Obtención de privilegios: CVE-2017-0317	14/02/2017	30/05/2017

2016

ID del boletín de seguridad	Tratamiento	CVE	Fecha de Publicación	Última Actualización
4279	Boletín de seguridad: Vulnerabilidad en NVIDIA Web Helper.exe que afecta a NVIDIA GeForce Experience (CVE-2016-8827)	Revelación de información: CVE-2016-8827	14/12/2016	14/12/2016
4278	El controlador de pantalla para GPU NVIDIA Windows contiene varias vulnerabilidades en el controlador de la capa de modo kernel (nvlddmkm.sys) par DxgDdiEscape y el controlador de pantalla para GPU Linux contiene una vulnerabilidad en la capa de modo kernel (nvidia.ko)	CVE-2016-8824, CVE-2016-8821: obtención de privilegios CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: denegación de servicio u obtención de privilegios CVE-2016-8826: denegación de servicio	14/12/2016	04/01/2017
4276	NVIDIA Shield contiene varias vulnerabilidades en nvhost_job.c	CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: bloqueo potencial del sistema	12/09/2016	12/09/2016
4267	NVIDIA Shield contiene varias vulnerabilidades en Mediaserver y Kernel	CVE-2016-3847: Desbordamiento de escritura en la pila CVE-2016-3815: Lectura de la pila de controladores de longitud controlada por el usuario CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: Vulnerabilidad de elevación de privilegios CVE-2016-3793: Memoria liberada (use after free) tras confilcto de accesos CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: Revelación de información	30/11/2016	21/11/2016
4257	El controlador de pantalla para GPU NVIDIA Windows contiene varias vulnerabilidades en el controlador de la capa de modo kernel (nvlddmkm.sys) para DxgDdiEscape	CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818 y CVE-2016-8819: denegación de servicio o posible obtención de privilegios CVE-2016-8820: denegación de servicio o revelación de información	18/11/2016	04/01/2017
4246	El controlador de pantalla para GPU NVIDIA Linux contiene vulnerabilidades de validación erróneas y de falta de comprobación de permisos:	CVE-2016-7382 y CVE-2016-7389: obtención de privilegios	28/10/2016	04/1/2017
4247	El controlador de pantalla para GPU NVIDIA Windows contiene varias vulnerabilidades en el controlador de la capa de modo kernel (nvlddmkm.sys) y NVIDIA GeForce Experience contiene una vulnerabilidad en la capa de modo kernel (nvstreamkms.sys)	El controlador de pantalla para GPU NVIDIA Windows contiene varias vulnerabilidades en el controlador de la capa de modo kernel (nvlddmkm.sys): CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: denegación de servicio o posible obtención de privilegios CVE-2016-7382: obtención de privilegios CVE-2016-7386: fuga de contenido de la memoria del kernel al espacio del usuario a través de un buffer no inicializado NVIDIA GeForce Experience contiene una vulnerabilidad en la capa de modo de kernel (nvstreamkms.sys): CVE-2016-8812: denegación de servicio u obtención de privilegios	28/10/2016	04/01/2017
4247	NVIDIA GeForce Experience contiene una vulnerabilidad en la capa de modo de kernel (nvstreamkms.sys),	Denegación de servicio u obtención de privilegios: CVE-2016-8812	28/10/2016	09/03/2017
4213	Boletín de seguridad: Varias vulnerabilidades afectan a los sistemas Quadro, NVS y GeForce basados en Windows	CVE-2016-4959: denegación de servicio del escritorio remoto CVE-2016-3161, CVE-2016-5852: vulnerabilidades de GFE GameStream y NVTray por una ruta de acceso al servicio sin comillas CVE-2016-4960: elevación de privilegios de NVStreamKMS.sys CVE-2016-4961: denegación de servicio local autentificado de NVStreamKMS.sys CVE-2016-5025: vulnerabilidad de denegación de servicio de NVAPI	19/08/2016	19/08/2016
4208	Vulnerabilidades del controlador de kernel Linux	Las vulnerabilidades detectadas en los controladores de kernel NVIDIA Tegra podrían permitir a un atacante local obtener privilegios o ejecutar código arbitrario del kernel.	02/08/2016	02/08/2016
4059	CVE-2016-2556: Kernel driver escape can allow access to restricted functionality	Este problema puede aumentar el riesgo de acceso por parte de código malicioso a recursos que requieren privilegios de acceso. La vulnerabilidad se podría aprovechar para obtener privilegios que faciliten el acceso a información privada o provocar denegación de servicio a los recursos del sistema.	21/03/2016	21/03/2016
4060	CVE-2016-2557: Kernel driver escape privileged memory access	Este problema puede aumentar el riesgo de acceso por parte de código malicioso a recursos que requieren privilegios de acceso. La vulnerabilidad se podría aprovechar para facilitar el acceso a memoria no inicializada o situada fuera de los límites de la matriz, lo que podría dar lugar a la revelación de datos, bloqueos o denegación del servicio y, potencialmente, a la obtención de privilegios de acceso.	21/03/2016	21/03/2016
4061	CVE-2016-2558: Kernel driver escape allows untrusted pointer	Este problema puede aumentar el riesgo de acceso por parte de código malicioso a recursos que requieren privilegios de acceso. La vulnerabilidad se podría aprovechar para facilitar el acceso a memoria no inicializada o situada fuera de los límites de la matriz, lo que podría dar lugar a la revelación de datos, bloqueos o denegación del servicio y, potencialmente, a la obtención de privilegios de acceso.	21/03/2016	21/03/2016

2015

ID del boletín de seguridad	Tratamiento	CVE	Fecha de Publicación	Última Actualización
3810	Google Android Stagefright Multimedia Vulnerabilities	El motor multimedia del sistema operativo Android de Google, conocido como Stagefright (o libstagefright), se ve afectado por varias vulnerabilidades que podrían permitir a un atacante remoto provocar fallos de denegación de servicio o ejecutar código arbitrario con elevación de permisos.	20/11/2015	20/11/2015
3806	CVE-2015-7866: NVIDIA CONTROL PANEL UNQUOTED PATH	El panel de control de NVIDIA está afectado por una vulnerabilidad causada por una ruta de acceso sin comillas que podría permitir a un atacante local elevar sus privilegios.	18/11/2015	18/11/2015
3807	CVE-2015-7865: STEREOSCOPIC 3D DRIVER SERVICE ARBITRARY RUN KEY CREATION	El servicio nvSCPAPISvr.exe de 3D Vision crea una canalización con nombre que permite la elevación de privilegios. En entornos de dominio de Windows, también es posible aprovechar la vulnerabilidad si el atacante tiene una cuenta de usuario válida en una máquina unida al dominio.	18/11/2015	18/11/2015
3808	CVE-2015-7869: Unsanitized User Mode Input	Este aviso se refiere a una vulnerabilidad de la seguridad en la capa de soporte de NVAPI de los controladores de gráficos NVIDIA. El informe incluye también una advertencia sobre problemas de desbordamiento de enteros en el driver de modo kernel.	18/11/2015	18/11/2015
3809	MICROSOFT DETOURS SECURITY UPDATE	Un error en la implementación de la librería Detours tiene el potencial de reducir la efectividad de algunas funciones de seguridad del sistema operativo. NVIDIA ha publicado una versión actualizada de Detours con las compilaciones más recientes para resolver el problema e introducir en los sistemas NVIDIA el último nivel de parches de esta librería de Microsoft.	18/11/2015	18/11/2015
3802	Security Bulletin: CVE-2015-5053: GPU mappings of third-party device IO memory	Escalation of Privileges: CVE-2015-5053	11/09/2015	11/09/2015
3763	CVE-2015-5950 Corrupción de la memoria debido a un puntero sin sanear en el controlador de pantalla de NVIDIA	Se ha detectado una vulnerabilidad en el controlador NVIDIA que algún usuario sin privilegios podría aprovechar para dañar la memoria del kernel y obtener privilegios de usuario root local.	25/09/2015	25/09/2015
3693	CVE-2015-3625: elevación de privilegios por la desreferencia de punteros sin el saneamiento adecuado en el controlador NVIDIA para el kernel de FreeBSD	El controlador de GPU de NVIDIA para el kernel de FreeBSD no sanea adecuadamente los punteros del espacio de usuario antes de desreferenciarlos.	19/06/2015	19/06/2015
4386	Boletín de seguridad: Hay vulnerabilidades en Bash que afectan a NVIDIA Tegra Linux L4T	CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: Vulnerabilidades en Bash denominadas "Shellshock."	03/03/2015	03/02/2017
3634	CVE-2015-1170: Comprobación de la suplantación de privilegios de Windows	En algún caso, la comprobación de administrador del kernel del controlador de pantalla de NVIDIA no valida adecuadamente los niveles de suplantación del cliente local.	02/03/2015	02/03/2015
3618	CVE-2014-5332: VULNERABILIDAD DE NVMAP EN EL KERNEL DE LINUX PARA TEGRA	Una vulnerabilidad momentánea relacionada con el acceso a la memoria liberada (use after free) y el componente NVMap hace que un bit fijo pueda borrar datos en estructuras de memoria reciclada. Para aprovechar esta vulnerabilidad, el atacante debe explotar el conflicto de accesos (condición de carrera) que existe entre la conversión del descriptor de archivo en un puntero de una estructura de identificadores (un punto cada vez) y el incremento del contador de referencias de dicha estructura (otro punto cada vez), y forzar el reciclaje de la estructura de memoria de identificadores (handles) en un proceso del kernel en el que es posible aprovechar el bit fijo para el ataque.	15/01/2015	15/01/2015

2014

ID del boletín de seguridad	Tratamiento	CVE	Fecha de Publicación	Última Actualización
3610	CVE-2014-8298: Renderizado GLX indirecto (incluye CVE-2014-8093, CVE-2014-8098)	El soporte de la función de renderizado GLX indirecto ofrecido en los productos NVIDIA está afectado por las vulnerabilidades recientemente desveladas de X.Org (CVE-2014-8093, CVE-2014-8098), así como por otras vulnerabilidades identificadas internamente (CVE-2014-8298).	09/12/2014	11/12/2014
3566	CVE-2014-0224: software GameStream afectado por una vulnerabilidad de OpenSSL	La librería de OpenSSL incluida en los componentes de GameStream contenidos en la versión de GeForce Experience anterior a la 2.1.1 y en el software de SHIELD Hub anterior a la versión 3.2.18713345 está afectada por la recién descubierta vulnerabilidad a ataques MITM (man in the middle) de OpenSSL SSL/TLS (CVE-2014-0224). Como resultado, cualquier atacante que consiguiera aprovechar esta vulnerabilidad podría robar datos confidenciales de las sesiones de GameStream, incluida la clave de acceso del usuario, así como modificar los datos de la sesión.	09/09/2014	09/09/2014
3492	CVE-2014-0160: Vulnerabilidad de OpenSSL en Gamestream	La librería OpenSSL incluida en el componente GameStream de GeForce Experience 2.0.0 está sujeta a los problemas de seguridad de la vulnerabilidad Heartbleed descubierta recientemente. Como consecuencia, cualquier atacante que pudiese explotar dicha vulnerabilidad podría leer la memoria de procesos del servicio GrameStream y, potencialmente, robar datos confidenciales de las sesiones de GameStream, incluidas la contraseña de los usuarios, o descifrar futuras sesiones de GameStream.	29/04/2014	29/04/2014

2013

ID del boletín de seguridad	Tratamiento	CVE	Fecha de Publicación	Última Actualización
3377	CVE-2013-5987: Vulnerabilidad de acceso no autorizado a la GPU	Un error del controlador gráfico de NVIDIA hace que software sin privilegios en modo usuario pueda acceder a la GPU de forma inapropiada. Un atacante que explote esta vulnerabilidad podría tomar el control del sistema afectado.	02/12/2013	02/12/2013
3290	CVE-2013-0131: desbordamiento del buffer al introducir un cursor ARGB en modo "NoScanout" con el controlador gráfico de NVIDIA para UNIX.	Si el controlador de NVIDIA para el sistema X Window funciona en modo "NoScanout" y un cliente X instala un cursor ARGB con un tamaño mayor del esperado (64 x 64 o 256 x 256, según la versión del controlador), el controlador provocará el desbordamiento de un buffer. Esto puede dar lugar a una denegación de servicio (por ejemplo, un fallo de segmentación del servidor X) o aprovecharse para ejecutar código arbitrariamente. Dado que el servidor X se ejecuta con el atributo setuid en muchas configuraciones, los posibles atacantes podrían utilizar esta vulnerabilidad en este tipo de configuraciones para obtener privilegios de usuario root.	02/04/2013	02/04/2013
3288	Vulnerabilidad del servicio del controlador de pantalla de NVIDIA: CVE-2013-0109	Debido a un problema detectado con el controlador de NVIDIA, un sujeto no autorizado podría forzar excepciones y sobrescribir la memoria para ir asumiendo privilegios y obtener control de administración del sistema. Esta vulnerabilidad está asociada al servicio del controlador de pantalla de NVIDIA y afecta a los controladores NVIDIA para sistemas operativos Windows (Windows XP/Windows Vista/Windows 7/Windows 8 - 32 y 64 bit) a partir de la revisión 173.	22/02/2013	22/02/2013
3288	Vulnerabilidad del servicio del controlador de 3D estereoscópico de NVIDIA: CVE-2013-0110	NVIDIA ha detectado un problema con el servicio del controlador de 3D estereoscópico de NVIDIA (nvSCPAPISvr.exe), que podría permitir a sujetos no autorizados adquirir privilegios de forma local introduciendo un archivo ejecutable en la ruta de acceso del servicio del servicio afectado. En concreto, el problema era que el servicio utilizaba una ruta de acceso sin comillas que contenía al menos un espacio en blanco.	22/02/2013	22/02/2013
3288	Vulnerabilidad del proceso de servicio de actualización de NVIDIA: CVE-2013-0111	NVIDIA ha detectado un problema con el daemon del servicio de actualización de NVIDIA (daemonu.exe) que podría permitir a sujetos no autorizados adquirir privilegios de forma local introduciendo un archivo ejecutable en la ruta de acceso del servicio afectado. En concreto, el problema era que el servicio utilizaba una ruta de acceso sin comillas que contenía al menos un espacio en blanco.	22/02/2013	22/02/2013
3140	Vulnerabilidad del controlador gráfico de NVIDIA para UNIX: CVE-2012-4225	Los controladores gráficos de NVIDIA para UNIX anteriores a la versión 295.71 y a la versión 304.32 permiten a usuarios locales escribir en ubicaciones de memoria física arbitrarias y obtener privilegios modificando la ventana VGA mediante el archivo /dev/nvidia.	02/08/2012	20/02/2013
3109	Vulnerabilidad de seguridad CVE-2012-0946 en el controlador UNIX de NVIDIA	Esta vulnerabilidad permite a posibles atacantes con acceso de lectura y escritura a los nodos de dispositivo de GPU reconfigurar las GPUs para obtener acceso arbitrario a la memoria del sistema.	04/04/2012	06/08/2012
1971	Vulnerabilidad del controlador gráfico de NVIDIA para UNIX: CVE-2006-5379	Las funciones de aceleración del renderizado del controlador de gráficos binario de NVIDIA (binary blob driver) para Linux v8774 y v8762 permiten a atacantes locales y remotos ejecutar código arbitrario a través de un valor de gran anchura incluido en un glifo de un tipo de letra que puede utilizarse para sobrescribir direcciones arbitrarias de la memoria.	18/10/2006	20/02/2013

Si necesitas informar de un problema de seguridad, utiliza los puntos de contacto que se indican a continuación:

Problema	Contacto o recurso de NVIDIA
¿Cómo puedo informar de un problema de seguridad en una página web de NVIDIA?	Correo electrónico al equipo de seguridad de aplicaciones
¿Cómo puedo informar de una vulnerabilidad potencial de seguridad de un producto NVIDIA?	Los fabricantes de sistemas (OEM) deben contactar con el responsable del programa de clientes. NVIDIA fomenta la divulgación coordinada de vulnerabilidades de seguridad a través del equipo de respuesta a incidentes de seguridad. Los investigadores de seguridad, grupos industriales, organizaciones gubernamentales y proveedores pueden notificar vulnerabilidades potenciales de seguridad a NVIDIA PSIRT usando el formulario de envío de vulnerabilidades de seguridad o enviando un correo electrónico a NVIDIA PSIRT*.
¿Cómo puedo enviar mis comentarios sobre un producto o servicio de NVIDIA?	Visita el sitio web de soporte de NVIDIA.
¿Dónde puedo obtener asistencia técnica para mi producto NVIDIA?	Visita el sitio web de soporte de NVIDIA.
¿Dónde puedo informarme sobre las actualizaciones de seguridad de los productos NVIDIA?	For information about NVIDIA Security Bulletins, see the Security Bulletin section of the PSIRT Policies page.
¿Cómo puedo informar de un correo electrónico, un sitio web o una ventana emergente que se hace pasar falsamente por NVIDIA?	Visita el sitio web de soporte de NVIDIA.
¿Cómo puedo informar del uso indebido de un producto o servicio de NVIDIA con fines ilegales?	Visita el sitio web de soporte de NVIDIA.
¿Cómo puedo informar de un acto de piratería de software (copia, venta o uso de software sin una licencia adecuada)?	Visita el sitio web de soporte de NVIDIA.

*Si informas de una posible vulnerabilidad por correo electrónico, encríptalo con la clave PGP pública de NVIDIA (consulta la página Clave PGP) e incluye la siguiente información:

Nombre del producto/controlador y versión/rama que contiene la vulnerabilidad
Tipo de vulnerabilidad (XSS, desbordamiento de buffer, etc.)
Instrucciones para reproducir la vulnerabilidad
Prueba de concepto o código del exploit
Impacto potencial de la vulnerabilidad, incluida la forma en que un atacante podría aprovecharla

Índice

NVIDIA PSIRT – Gestión de vulnerabilidades
Notificación de vulnerabilidad potencial de seguridad
Divulgación coordinada de vulnerabilidad
Suscripción a boletines y actualizaciones de seguridad
Consultas de los medios o PR relativas a la información sobre vulnerabilidades de seguridad de NVIDIA
Proceso de gestión de vulnerabilidades NVIDIA PSIRT
Valoración de riesgos de seguridad con el sistema común de evaluación de vulnerabilidades de (Common Vulnerability Scoring System, CVSS)
Política de comunicación de vulnerabilidades
Boletines de seguridad
Aviso de seguridad
Solución de vulnerabilidades
Derechos del cliente: Nota sobre garantías, soporte y mantenimiento

NVIDIA PSIRT – Gestión de vulnerabilidades

El equipo de respuesta a incidentes de seguridad de productos (Product Security Incident Response Team, PSIRT) de NVIDIA tiene por objetivo minimizar el riesgo de los clientes derivado de las vulnerabilidades de seguridad ofreciendo información puntual, asistencia y soluciones. NVIDIA PSIRT es un equipo global que gestiona la recepción, investigación, coordinación interna, solución y divulgación de información de vulnerabilidades de seguridad relacionadas con productos NVIDIA.

Una de las principales responsabilidades de NVIDIA PSIRT es coordinar la respuesta y divulgación de todas las vulnerabilidades de productos NVIDIA identificadas externamente.

Notificación de vulnerabilidad potencial de seguridad

NVIDIA agradece los informes de investigadores independientes, organizaciones industriales, clientes y otras fuentes preocupadas por la seguridad de los productos.

Para obtener más información sobre cómo notificar una vulnerabilidad potencial, visita la página Notificar vulnerabilidad.

Divulgación coordinada de vulnerabilidades

NVIDIA realiza el máximo esfuerzo para seguir el proceso de divulgación coordinada de vulnerabilidades (Coordinated Vulnerability Disclosure, CVD). CVD es un proceso mediante el cual los informadores independientes que descubren una vulnerabilidad en nuestros productos pueden contactar directamente con NVIDIA y nos permitan investigar y solucionar el problema antes de divulgarlo públicamente.

NVIDIA PSIRT colaborará con el informador durante el proceso de investigación de la vulnerabilidad y le mantendrá informado sobre su progreso. Si el informador lo autoriza, NVIDIA PSIRT podrá reconocer su aportación en la página de agradecimientos por haber encontrado una vulnerabilidad válida e informado en privado del problema . Una vez que NVIDIA publica una actualización o información de mitigación, el informador puede comentar públicamente la vulnerabilidad.

El proceso CVD de NVIDIA nos permite proteger a nuestros clientes y, al mismo tiempo, coordinar la divulgación pública y reconocer adecuadamente el descubrimiento de los informadores.

Si una vulnerabilidad afecta al producto de un proveedor, NVIDIA PSIRT lo comunicará directamente a este, se coordinará con el informador o implicará a un centro de coordinación independiente.

Suscripción a los boletines de seguridad y las actualizaciones

La lista de boletines de seguridad publicados se encuentra en la página Boletines de seguridad de NVIDIA.

Se recomienda a los clientes que se suscriban a las notificaciones de boletines de seguridad de NVIDIA para estar informados de las novedades y revisiones principales en materia de seguridad.

Puedes suscribirte a las notificaciones aquí.

Para obtener información sobre los boletines de seguridad de NVIDIA, consulta la sección Boletín de seguridad de este documento.

Consultas de los medios o PR relativas a la información sobre vulnerabilidades de seguridad de NVIDIA

Dirígete a uno de los contactos de comunicación corporativa que se indican aquí.

Proceso de gestión de vulnerabilidades de NVIDIA PSIRT

El siguiente gráfico ilustra el proceso NVIDIA PSIRT a alto nivel.

Figura 1. Proceso del equipo de respuesta a incidentes de seguridad de productos de NVIDIA

Valoración de riesgos de seguridad con el sistema común de puntuación de vulnerabilidades (CVSS)

NVIDIA utiliza actualmente la versión 3.0 del sistema común de puntuación de vulnerabilidades (Common Vulnerability Scoring System, CVSS v3.0) para evaluar la gravedad de las vulnerabilidades identificadas. CVSS utiliza un método de valoración y un lenguaje comunes para comunicar las características y los efectos de las vulnerabilidades. CVSS tiene por objetivo establecer el grado de gravedad de una vulnerabilidad. El modelo CVSS utiliza tres mediciones o puntuaciones distintas que incluyen cálculos de base, tiempo y entorno con sus respectivos conjuntos de medidas. La norma completa, responsabilidad del Forum of Incident Response and Security Teams (FIRST), se puede consultar en: https://www.first.org/cvss .

NVIDIA utiliza la escala CVSS v3.0 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) para valorar la gravedad como se indica en la siguiente tabla:

Valoración de impacto en la seguridad	Puntuación CVSS
Critica	9,0 – 10,0
Altos	7,0 – 8,9
Intermedio	4,0 – 6,9
Baja	0,1 – 3,9
Ninguno	0,0

NVIDIA se reserva el derecho a no seguir estas pautas en determinados casos, cuando la puntuación CVSS no contemple adecuadamente algún factor adicional.

Cuando corresponda, los boletines de seguridad de NVIDIA incluirán la puntuación básica CVSS v3.0 y, en algunos casos, la puntuación temporal. La evaluación de riesgos de NVIDIA se basa en una media de riesgo sobre un conjunto variado de sistemas instalados y puede no representar el riesgo real de una instalación concreta.

NVIDIA recomienda acudir a un profesional de seguridad o TI para evaluar el riesgo de la configuración específica y calcular la puntuación de entorno según los parámetros de red. NVIDIA recomienda a todos los clientes tener en cuenta la puntuación básica y las eventuales puntuaciones de tiempo y entorno que puedan afectar a sus entornos concretos para evaluar el riesgo general. La puntuación general corresponde a un momento en el tiempo y está adaptada a un entorno concreto. Se recomienda utilizar la valoración del problema realizada por un profesional de seguridad o TI y la correspondiente puntuación final para adoptar medidas adecuadas para cada entorno.

Política de comunicación de vulnerabilidades

NVIDIA utiliza las siguientes pautas para determinar el plan de comunicación adecuado en caso de vulnerabilidad de software propio:

Valoración de impacto en la seguridad	Puntuación CVSS	Plan de comunicación
Critica	9,0-10,0	Boletín de seguridad de NVIDIA
Altos	7,0-8,9
Intermedio	4,0-6,9
Baja	3,9 o inferior	Nota sobre la versión del producto

En caso de problema de seguridad en un componente de software de un tercero utilizado por un producto NVIDIA, es posible que se publique un boletín de seguridad. Si se publica un boletín de seguridad para la vulnerabilidad de un componente de software de un tercero, NVIDIA utilizará por lo general la puntuación CVSS comunicada por el creador del componente. En algunos casos, NVIDIA ajustará la puntuación CVSS para reflejar el impacto en su producto.

NVIDIA se reserva el derecho a no seguir estas pautas en determinados casos, cuando la puntuación CVSS no contemple adecuadamente algún factor adicional.

Boletines de seguridad

En la mayoría de los casos, NVIDIA pretende avisar a los clientes cuando se consigue una solución práctica o una actualización de seguridad para una vulnerabilidad de seguridad. El aviso se hace llegar mediante comunicaciones dirigidas o mediante la publicación de un Boletín de seguridad. Antes de su publicación, NVIDIA PSIRT completará primero el proceso de respuesta de la vulnerabilidad y determinará qué soluciones o actualizaciones de software existen para solucionarla o si se planea publicar alguna solución.

Los boletines de seguridad intentan equilibrar la cantidad de información ofreciendo datos suficientes para que los clientes puedan protegerse, pero sin aportar detalles que puedan ser aprovechados por usuarios maliciosos. Por lo general, los boletines de seguridad de NVIDIA incluyen la siguiente información:

Productos y versiones afectados
Identificador de enumeración común de vulnerabilidad (Common Vulnerability Enumeration, CVE) (consulta http://cve.mitre.org)
Breve descripción de la vulnerabilidad e impacto posible
Valoración de gravedad del sistema común de puntuación de vulnerabilidades (CVSS) (consulta http://www.first.org/cvss/cvss-guide.html)
Detalles de la solución, como actualizaciones de seguridad, mitigación u otras acciones que debe realizar el cliente
Reconocimiento del informador de la vulnerabilidad identificada y agradecimiento por su colaboración con NVIDIA en ladivulgación coordinada de vulnerabilidades

NVIDIA no ofrecerá información adicional sobre las vulnerabilidades aparte de la facilitada en el boletín de seguridad y la documentación relacionada (notas sobre la versión, artículos de la base de datos de conocimiento, preguntas frecuentes, etc.). NVIDIA no distribuye código ni pruebas de concepto de las vulnerabilidades identificadas.

Conforme a las prácticas habituales, NVIDIA no comparte con entidades externas las conclusiones de sus pruebas de seguridad internas ni otras actividades relacionadas con la seguridad. Es importante tener en en cuenta que toda incursión en los sistemas de producción de seguridad de NVIDIA será considerada un ataque. Si eres un partner OEM, consulta con el responsable del programa de NVIDIA para resolver tus necesidades.

Los boletines de seguridad de NVIDIA se publican en la página Boletín de seguridad. Puedes suscribirte a las notificaciones aquí.

Aviso de seguridad

NVIDIA podrá publicar una comunicación especial para responder de forma rápida y adecuada a divulgaciones públicas cuando la vulnerabilidad haya recibido gran atención pública o tenga gran probabilidad de ser aprovechada maliciosamente. En este caso, NVIDIA podrá acelerar la comunicación incluyendo o no un conjunto completo de parches o soluciones. Esta comunicación se denominará Aviso de seguridad y se publicará en la página Boletín de seguridad.

Solución de vulnerabilidades

NVIDIA se toma muy en serio las amenazas para la seguridad y se esfuerza para evaluarlas y neutralizarlas rápidamente. Los tiempos de respuesta dependen de muchos factores, entre los que se incluyen gravedad, producto afectado, ciclo de desarrollo actual, ciclos de control de calidad y necesidad o no de una versión principal para resolver el problema.

La solución puede darse en una o varias de las siguientes formas:

Nueva versión
Parche facilitado por NVIDIA
Instrucciones para descargar e instalar una actualización o un parche de un tercero

Método alternativo para evitar la vulnerabilidad

A pesar de lo anterior, NVIDIA no garantiza una solución específica para los problemas y es posible que no todos los problemas identificados dispongan de solución

Derechos del cliente: Garantías, soporte y mantenimiento

Los derechos de los clientes de NVIDIA con relación a la garantía, el soporte y el mantenimiento, incluidas las vulnerabilidades de cualquier producto de software de NVIDIA, se rigen por el acuerdo vigente entre NVIDIA y cada cliente.

La información de esta página web no modifica ni amplía los derechos del cliente ni constituye garantía adicional alguna. Toda información facilitada a NVIDIA con relación a vulnerabilidades de productos NVIDIA, incluidos los datos de los informes de vulnerabilidad de un producto, será propiedad exclusiva de NVIDIA.

Descargo de responsabilidad

Todos los aspectos relacionados con el proceso PSIRT y las políticas de NVIDIA podrán modificarse sin previo aviso en función de cada caso. No se garantiza la respuesta para ningún problema ni clase de problema. El usuario será el único responsable del uso de la información que contenga el documento y del material al que este haga referencia. NVIDIA se reserva el derecho de modificar o actualizar este documento en cualquier momento y sin previo aviso.

LA TOTALIDAD DE INFORMACIÓN, ESPECIFICACIONES DE DISEÑO DE NVIDIA, TABLAS DE REFERENCIA, ARCHIVOS, DIBUJOS, DIAGNÓSTICOS, LISTAS Y OTROS DOCUMENTOS (DENOMINADOS CONJUNTAMENTE O POR SEPARADO “MATERIALES”) SE ENTREGAN “TAL CUAL”. NVIDIA NO OFRECE GARANTÍA ALGUNA, YA SEA EXPLÍCITA, IMPLÍCITA, ESTABLECIDA POR LA LEY O DE NINGÚN OTRO TIPO, CON RESPECTO A LOS MATERIALES Y, HASTA DONDE PERMITE LA LEGISLACIÓN VIGENTE, NVIDIA LOS PROPORCIONA SIN GARANTÍAS DE NINGUNA CLASE, YA SEAN EXPLÍCITAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADECUACIÓN A UN FIN CONCRETO O CUMPLIMIENTO NORMATIVO.

NVIDIA considera que la información suministrada es exacta y fiable en el momento de su publicación. pero no se hace responsable de las posibles consecuencias o infracciones de derechos sobre patentes, u otros derechos de terceras partes, que pudieran derivarse de su uso NVIDIA no otorga licencia alguna por implicación, ni de ningún otro modo, bajo ninguna patente o derecho de patente de NVIDIA Corporation Las especificaciones mencionadas en esta publicación son susceptibles de cambios sin previo aviso El contenido de este documento sustituye y prevalece sobre cualquier otra información anteriormente suministrada por NVIDIA No se autoriza el uso de los productos de NVIDIA Corporation como componentes esenciales de dispositivos o sistemas de apoyo o sostenimiento de la vida sin el permiso previo y por escrito de NVIDIA Corporation.

NVIDIA recomienda la divulgación coordinada de vulnerabilidades de seguridad mediante el formulario de envío de vulnerabilidades de seguridad.

NVIDIA agradece a las siguientes personas y organizaciones su contribución a la seguridad de nuestros productos.

2019

Security Bulletin ID	CVE(s)	Acknowledgement
4680	CVE-2019-5701	Hashim Jawad of ACTIVELabs
4680	CVE-2019-5695	Peleg Hadar of SafeBreach Labs
4680	CVE-2019-5689	Siyuan Yi of Chengdu University of Technology
4907	CVE-2019-5694 CVE-2019-5695	Peleg Hadar of SafeBreach Labs
4928	CVE-2019-5688	Jesse Michael y Mickey Shkatov de Eclypsium
4875	CVE-2019-5700	Ryan Grachek
4804	CVE-2019-5681	Yousra Aafer
4804	CVE-2019-5682	Leron Gray (daddycocoaman)
4841	CVE-2019-5684 CVE-2019-5685	Piotr Bania de Cisco Talos
4835	CVE-2019-5680	Balázs Triszka
4806	CVE-2019-5678	David Yesland de Rhino Security Labs
4797	CVE-2019-5676	Kushal Arvind Shah de FortiGuard Labs de Fortinet; Łukasz 'zaeek'; Yasin Soliman; Marius Gabriel Mihai; y Stefan Kanthak
4787	CVE-2019-5672	Jesse Raffa
4784	CVE-2019-5674	David Yesland de Rhino Security Labs
4772	CVE-2019-5665	Christoffer Wiman
N/A	N/A	Pankaj Kumar Thakur Taeyun Jang Jesse Michael y Mickey Shkatov de Eclypsium Rich Mirch Raghavendra Singh Sameer Phad Hamdi Maamri

2018

ID del boletín de seguridad	CVE	Agradecimientos
4740	CVE-2018-6266	Akshay Jain
4740	CVE-2018-6263	Pierre-Alexandre Braeken
4738	CVE-2018-6260	Hoda Naghibijouybari, Ajaya Neupane, Zhiyun Qian, and Nael Abu-Ghazaleh
4725	CVE-2018-6261	Mark Barnes
4660	CVE-2018-6242	Kate Temkin
4649	CVE-2018-6251	Piotr Bania of Cisco Talos
N/A	N/A	Gehan Kaushal, Hassy Vinod

2017

ID del boletín de seguridad	CVE	Agradecimientos
N/A	N/A	Andriy Noble
4561	CVE-2017-0306 CVE-2016-6915 CVE-2016-6916 CVE-2016-6917	Nathan Crandall, Equipo de seguridad de productos de Tesla Motors
4560	CVE-2017-0316	Tim Harrison
4544	CVE-2017-6269 CVE-2017-6270 CVE-2017-6271	Enrique Nissim, IOActive
4525	CVE-2017-6256	Enrique Nissim, IOActive
4525	CVE-2017-6259	Andrei Lascu y Alastair Donaldson, Multicore Programming Group del Imperial College London
4398	CVE-2017-0312 CVE-2017-0313	Oliver Chang, Google Project Zero
4398	CVE-2017-0317	Ryan Whitworth
N/A	N/A	Kushal Arvind Shah, Fortinet's FortiGuard Labs
N/A	N/A	Tim Harrison

2016

ID del boletín de seguridad	CVE	Agradecimientos
4279	CVE-2016-8827	Oden Schmit
4278	CVE-2016-8822	Oliver Chang, Google Project Zero
4278	CVE-2016-8823	Piotr Bania, Cisco Talos
4276	CVE-2016-6915 CVE-2016-6916 CVE-2016-6917	Nathan Crandall, Equipo de seguridad de productos de Tesla Motors
4267	CVE-2016-3847 CVE-2016-3848	Nathan Crandall, Equipo de seguridad de productos de Tesla Motors
4267	CVE-2016-3793	Peter Pi, Trend Micro
4267	CVE-2016-3815	Scott Bauer
4267	CVE-2016-3844	Chiachih Wu, CORE Team
4267	CVE-2016-3844	Mingjian Zhou, CORE Team
4267	CVE-2016-3844	Xuxian Jiang, CORE Team
4267	CVE-2016-3873	Sagi Kedmi, IBM Security X-Force Researcher
4267	CVE-2016-6688 CVE-2016-6677 CVE-2016-6687 CVE-2016-6686 CVE-2016-3930	Jianqiang Zhao
4267	CVE-2016-6688 CVE-2016-6677 CVE-2016-6687 CVE-2016-6686 CVE-2016-3930	PJF, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4267	CVE-2016-3933	Mingjian Zhou, CORE Team
4267	CVE-2016-3933	Chiachih Wu, CORE Team
4267	CVE-2016-3933	Xuxian Jiang, CORE Team
4247	CVE-2016-8805 CVE-2016-8806 CVE-2016-8807 CVE-2016-8808 CVE-2016-8809 CVE-2016-8810 CVE-2016-8811 CVE-2016-8812 CVE-2016-7391 CVE-2016-7387 CVE-2016-7385 CVE-2016-7390 CVE-2016-7384 CVE-2016-7386	Oliver Chang, Google Project Zero
4213	CVE-2016-4959	Tripwire VERT
4213	CVE-2016-3161 CVE-2016-5852	Alin Ghica
4213	CVE-2016-4960 CVE-2016-4961	Joseph Bialek, Microsoft Vulnerability Research
4213	CVE-2016-5025	Daniel Cornel
4208	CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2445 CVE-2016-2446	Jianqiang Zhao, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4208	CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2445 CVE-2016-2446	PJF, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4208	CVE-2016-2437	Yuan-Tsung Lo, CORE Team
4208	CVE-2016-2437	Lubo Zhang, CORE Team
4208	CVE-2016-2437	Chiachih Wu, CORE Team
4208	CVE-2016-2437	Xuxian Jiang, CORE Team

2015

ID del boletín de seguridad	CVE	Agradecimientos
3810	CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829 CVE-2015-3864	Joshua J. Drake, Zimperium
3809	No CVE	McAfee/Intel Security en cooperación con NIVIDA
3808	CVE-2015-7869	Axel Monroy, Intel en cooperación con NIVIDA
3808	CVE-2015-7869	Nikita Tarakanov, Intel en cooperación con NIVIDA
3806	CVE-2015-7866	Wesley Daniels
3802	CVE-2015-5053	Mellanox Technologies en cooperación con NIVIDA
3763	CVE-2015-5950	Dario Weisser
3634	CVE-2015-1170	James Forshaw, Google Project Zero

2014

ID del boletín de seguridad	CVE	Agradecimientos
3618	CVE-2014-5332	Lee Campbell, Google Chrome Security
3610	CVE-2014-8093 CVE-2014-8098	Adam Jackson
3610	CVE-2014-8093 CVE-2014-8098	Alan Coopersmith
3610	CVE-2014-8298	Robert Morell, NVIDIA

2013

ID del boletín de seguridad	CVE	Agradecimientos
3377	CVE-2013-5987	Marcin Kościelnicki, X.Org Foundation Nouveau Project

Clave PGP pública de NVIDIA para la comunicación.

-----INICIO DE BLOQUE DE CLAVE PÚBLICA PGP-----

Version: PGP Universal 3.4.2 (Build 1298)

mQENBF1gT/cBCADNWfruPik0NHJqaS2O61EdpuD3xlQVTXylc18/fXfR6YztS80n ogo3DrvKLk3VoSgoBEm70rgOOCayUBkoVJwIOuh4eV1GsdIZjRu9vuYTu5nfGLrF +hm2i/LjyiuFjm7tfA0Os936ay0pblY407HIUDLzpzGhb0LuMzRFW3e2RGuobRwU yZaO+o60o+J4gXRgJWPWh8JsLmgGrm/dOZVOSCOTzjXRydNMsG1JUQAXHPlN6pOD 98ajG9Eg+ryR1ubV1fMFr+lFfNG0yG1Ea0M7RVhQ+IfLIbMYN7YUw3DDrJOFG4+t QhP7f6XANEBdubBjomL9ylBBBxm1SW+4QslzABEBAAG0H05WSURJQSBQU0lSVCA8 UFNJUlRAbnZpZGlhLmNvbT6JAgUEEAEIAO8FAl2uqa4FCQIu/AAXCgABz0udN2P/ U/UrSP5cwde64OncVEgXCgARSPZUEJ5X3hhvBYl74uBto5wFRRIgFAAAAAAAFgAB a2V5LXVzYWdlLW1hc2tAcGdwLmNvbY4bFAAAAAAAEQABa2V5LXVzYWdlQHBncC5j b22PMBSAAAAAACAAB3ByZWZlcnJlZC1lbWFpbC1lbmNvZGluZ0BwZ3AuY29tcGdw bWltZQYLAgkDAQoCGQEFF4AAAAAfGGxkYXA6Ly9ocXBncGdhdGUxMDIubnZpZGlh LmNvbQUbgwAAAAMWAgEFHgEAAAAEFQgJCgAKCRB2cg4WaADfq64BB/0aqv+h7Hbx c4eITTajM9L+Z+wsRZcFW0udywRbWjuHNInLkZ2PkD1SwpIg9rZyQu4v7e4njral 91XacM1t5FM+Tr/uxwFgL4WCJljvNh6Vza3UMGdufxnwB8s3eLSeOakguAhPRPE5 1gqofSpCVtU3EYT22S+P35f4M1iJR18QQCvqfqjJn8bnUyLYv5ZwPED3dYkzeGRc ynrAv1q5h0P5p60upWy0lcxJ6+TL46e6pNPFbADKdPYva9Sslb5QWI8P2aRWpfu3 9EH/aBLy8GNMjuX2d6wch1+G3nRuizYJutAwf/kZZba3kpaCrgXtHZ9MYfXsvq44 UVoUcUFbRhHIiQEiBBABCAAMBQJdrqmuBQMB4TOAAAoJEMnqNS1+v1vuMqAIAKLw MHW43otmfUUZ0hhs6Dc98uym/1nYH0Ggl0SIsr22W04Q1Hg/p3bsWku6mNEmRgZ2 sOqKUuiunoFTyVJ+AM0gec2uqSNTCjVANheJug9FsiOWz9EdUHaWv1fCKSzj8xml SQ2jVHiGV6byJaSoQNPqh71ae9woWX2DDBxjQjyqLHkGDUUDynDcl8to0qB65A/m fBvxxu54nW+0IFG/YnCBK1uHcKT9HNChLuNcSfPv6BLpKGu2twfP8Af/oGcD2M6o /qG3w0Bb1D2d49tiY5B+67ZuRvmc6xg74PP/VprhSVQEkjqzhVU3NGsMXi8zTqam D/Xy173TYVtoRt2fB460KE5WSURJQSBQU0lSVCA8UFNJUlRAZXhjaGFuZ2UubnZp ZGlhLmNvbT6JAgIEEAEIAOwFAl2uqa4FCQIu/AAXCgABz0udN2P/U/UrSP5cwde6 4OncVEgXCgARSPZUEJ5X3hhvBYl74uBto5wFRRIgFAAAAAAAFgABa2V5LXVzYWdl LW1hc2tAcGdwLmNvbY4bFAAAAAAAEQABa2V5LXVzYWdlQHBncC5jb22PMBSAAAAA ACAAB3ByZWZlcnJlZC1lbWFpbC1lbmNvZGluZ0BwZ3AuY29tcGdwbWltZQYLAgkD AQoFF4AAAAAfGGxkYXA6Ly9ocXBncGdhdGUxMDIubnZpZGlhLmNvbQUbgwAAAAMW AgEFHgEAAAAEFQgJCgAKCRB2cg4WaADfq40VB/41pjkYrBA86QibzUnOC6/eolYa VfuXPUJ0VHECIRGbcxs7kprC09NkT4K1IiIhuefu/YCvUH21m6hl4rBRewFJ/SZu Ma27/mBR7uos5/GS3tNJvJq5vgBsO0/7+HOHJ4SKWpD8fzmlZCnHjikxw2LRs2tY chnpNX291ynLq4abDq+LkkfRjURRrJxN1+GYjoaCclCr5zfDoqk31+7AKqLN5pCr AD8BcI2+ObcBmkexRr3/JuTMq9s2VtB+nFcdjtxqVZVPf3xIEPSa+Thg+SvVHTRm 2+a6t/4pdRXBysO8GQTp7Z4oLb5Q/uXytOuj5pvwWYxnXlidKEJ8j9nAQr2ZiQEi BBABCAAMBQJdrqmuBQMB4TOAAAoJEMnqNS1+v1vueVQH/Ron+uzcsTEe7ibhNTLG nC+3gjqwTiXCmPUyA3E+sy1ySBHgAxFS9s1ODoBNsOuelCS6mlUKZ0VVe3kYYKXB 1HlEVewlxv5csnndUJPnO0aZcOO6caJM0nxd9aY3ef5TxdGF/468ATxOAcmsGoCx w3X/n3JuMUSSBXd2yphZQ29Nhdz20gOdDJqaT8Rvuwo/+CJPP4FpGyZekhQxsRVL YWpFCbGbkwJzpG9mq/WiOZ9bL9eVKGELa+nalJxagn2S0Mw6R/aJMNgCJDbN18Cr rT7q07+1kLWe1G2ZaBbTJTB3vzJJqL3IBEYbiKnqr+rNeJipFOeZv8Qn18Lr4awP xam0Hk5WSURJQSBQU0lSVCA8cHNpcnRAbnZpZGlhLml0PokCAgQQAQgA7AUCXa6p rgUJAi78ABcKAAHPS503Y/9T9StI/lzB17rg6dxUSBcKABFI9lQQnlfeGG8FiXvi 4G2jnAVFEiAUAAAAAAAWAAFrZXktdXNhZ2UtbWFza0BwZ3AuY29tjhsUAAAAAAAR AAFrZXktdXNhZ2VAcGdwLmNvbY8wFIAAAAAAIAAHcHJlZmVycmVkLWVtYWlsLWVu Y29kaW5nQHBncC5jb21wZ3BtaW1lBgsCCQMBCgUXgAAAAB8YbGRhcDovL2hxcGdw Z2F0ZTEwMi5udmlkaWEuY29tBRuDAAAAAxYCAQUeAQAAAAQVCAkKAAoJEHZyDhZo AN+rHowH/R8XjETjYkqhGCkhyExg/H4cOxN5yK6DWrrvASPiv7l3UgkT1yvMf+us amluoHXnGeIHR0jOBhNJCTOf+xu127bTi4DWnatoeMiSroEDZKoPkOd+j5LW/JLV AbiQJ+J7AjPX54oMSEaV1BK2u5/OPcWmkjtg4V8xN9f6WmBTsEUvqRsP7iuFAON5 ebW2GOLCWU6ZxOOBlmfcjbVktleLJ2ESrMRFCFVxQ3c9UXKaPwUCis1Wmf7n7QSz XWnVPq1g/f/MloHEU0a0BIo0b+79twL6lkLvpN6W+okuUITgcDBDJjE3FNwYodGc QLaaAbGsgtldSmojHlUiw2I1m/F/TviJASIEEAEIAAwFAl2uqa4FAwHhM4AACgkQ yeo1LX6/W+5zXQgAk0R275Ko8t+ecvCaXo1gReZdMVFx5QduCVDr0k4+dlwNHIBn BUyNnb62HEm4HW0KnLVZTlzCgZVBHcWZRlCiDkb+iZ14HCamUFY9FuGQb2vpzWAY okGpCPyH72ZXwQkZgqNzs4Zd2V3n0lar1kKieUWN2ZNkCVM1ABNtUZs/PyaCIDSq MVL71alHXlvhhYfZGz+3mk2bviIVz6RUDbKaFspNI6YmzjTIMHsMTvYqohPCH5uv qZj7u/9oD+50cgD9NZ+T0D6tjANJQ24uPFxbGUBdknWhmxC/K/7/714jgruIugEH DtgfM9ZrHHeunXU13t4MT66LshvEUHwxTtZpK7QkTlZJRElBIFBTSVJUIDxQU0lS VEBzbXRwLm52aWRpYS5jb20+iQICBBABCADsBQJdrqmuBQkCLvwAFwoAAc9LnTdj /1P1K0j+XMHXuuDp3FRIFwoAEUj2VBCeV94YbwWJe+LgbaOcBUUSIBQAAAAAABYA AWtleS11c2FnZS1tYXNrQHBncC5jb22OGxQAAAAAABEAAWtleS11c2FnZUBwZ3Au Y29tjzAUgAAAAAAgAAdwcmVmZXJyZWQtZW1haWwtZW5jb2RpbmdAcGdwLmNvbXBn cG1pbWUGCwIJAwEKBReAAAAAHxhsZGFwOi8vaHFwZ3BnYXRlMTAyLm52aWRpYS5j b20FG4MAAAADFgIBBR4BAAAABBUICQoACgkQdnIOFmgA36vD4AgApx/t8W7akdtV Hclp1RcFsjoEjZsZuF5Y8eELFt3FabElgEagfWUYL1HINSpaY+X/6f9OQPK9lsY8 5//yF8jpJI/KDfYQmrGFr45iBf4sJhZy3lKFSzXLAGhp6l/8gqfVE2n//kWTru3g bP/tgSYEpm2FX7N4xQJ1SYdOjvebTAGsOD1//mH6a1DETB1Zq3ALHAMV2UA0KRUM W7pjE2iGDTzVGDwDyIZB+xHBudhwedGCPiAfUYQ0vm39U1ZCsOWZg5d3VVmUtm4Q iN8jfbJMDPlRM3keTcL1tHB3yyti1hjUio5E8vor8FXFUTA1QKRN4quDs8y1IyYy aOeQY7LjqYkBIgQQAQgADAUCXa6prgUDAeEzgAAKCRDJ6jUtfr9b7s7PB/9pNtdF sveUBPNy1jmEbJ2vaytMaCzX8VuahhRphCa/MkwrXIC7maBZvnEam8ro6xKi+rL6 0tVnUhtuV962UbrYCiusZvXDjIrsCF6C/5y16xUN1cK3qNdXCwqgNxBhAS5bhLkK Z9NbOOnSzP/tfhi/nEUx8uHX33oILUr17dKPXeDZoAqTV5eanFFqX+pSJoRyzek6 WLEGG+HAt64fWEoYuAmo/G3fug37/ZVTE+u/YgK0TS9s2FZvJqz9bYdGD7YV7t61 nABLR3tj6DSr5rm4+5FoC3V6LUJzsXPBbU12/ffdBiu4a/jkODj9vmGLuhUPSzMW 6r7WvKIZM53vV+sXuQENBF1gT/gBCADnlTMagdzi8hIOCFvumDtohVXyemGekYxS SoqZaPOzQfAsoXeBWrYGipNAWOQ8MlLoG5LzGNHD1ePeNknPAh8GC/mClFFubMFv SZFq+ew1NHCUP4lk1/RXe+jr/fnJsJAGt/6nqzBdePvMnW2MPFUIpDR8MkYw4aej +y91FE2jsIEccB0mOkB1l8tNplz+dpAdP4YTUS0jrIlgU+FjeaB9UbO3yT2LN8c2 TZk7WsyNl2ufySboG79/1O4NKUDfca2K0y0MZ2NMLudMH7CN5ETdICQuaNdW15/O GJTP1KpJWg4YXpGU1bmCaFuxnCigQ1VxqcymVJqgsII4i5kijQ7jABEBAAGJAkcE GAECATEFAl2uqa4FCQIu/AAFGwwAAADAXSAEGQEIAAYFAl1gT/gACgkQJ0vXrbyG XbGH1gf/XdJQovgUoqjblmeh/KCMNL7H19MaATXr3mAGNshF9Eb4qTus6yVUfBcm hL7UhwsUKqN0H3mqDml+ciguF0nnzqxiLSBpQW/uoKpLD+EOzYyvFDwwowXYeZZK SVpJ3ZZFPRaXFQIDdYPo2Zb4TxaTSblN6VSEgjBMrDzQV0wAOeiX1A5Fn9iKIlyK 0is2sZyTZt+7NxWEuox90jqb39f7uV+OHBpUl3zt4y9qanuaGxMwS3/HmbPX3kuD KZ8fgt2FE0axyNkJ/BW693BRpobGaRPrH9L8gfitqwWM9Yv6hifau7JJ4m1oxoqq b0QjEe6f8STDSIxlucr+Ha8IT03xdgAKCRB2cg4WaADfq4KLCAC3zbr+Syjwk8DU XodW6+hpjG0raTM0b9ZCKZafVg3cgLXla2VSJ9jHg9rLOKJKbSbXWftdgAtajsoC NP3h6bniTljzhuMEuETzQ//J6YPzr1JiFuPqVSQLw1I6ZJcGBIEYKhK3lNcmKftI OPSldO4qzyxrq+Hd44XbdJpvcpjDMzw99FwjgyVGeJoSa2oTNmAVqEXaa4u9N8dR WImbC1YtAUniON2/H0hKuh1G2rM1X+XnTzIT3Vqck//RVwCt/4PBZXdlT6ZGw1RT b+2VT6ipweDx0R1zm5rOVCamHbxRYZJRSKBEkPrKjVgcJeXBoGNyPo6TgL9hSajx VkgpkSbr =4n6H

-----END PGP PUBLIC KEY BLOCK-----

Seguridad de productos

2019

2018

2017

2016

2015

2014

2013

Índice

NVIDIA PSIRT – Gestión de vulnerabilidades

Notificación de vulnerabilidad potencial de seguridad

Divulgación coordinada de vulnerabilidades

Suscripción a los boletines de seguridad y las actualizaciones

Consultas de los medios o PR relativas a la información sobre vulnerabilidades de seguridad de NVIDIA

Proceso de gestión de vulnerabilidades de NVIDIA PSIRT

Valoración de riesgos de seguridad con el sistema común de puntuación de vulnerabilidades (CVSS)

Política de comunicación de vulnerabilidades

Boletines de seguridad

Solución de vulnerabilidades

Derechos del cliente: Garantías, soporte y mantenimiento

Descargo de responsabilidad

2019

2018

2017

2016

2015

2014

2013

Seguridad de
productos