Sicurezza
dei prodotti

NVIDIA prende molto seriamente le questioni relative alla sicurezza e agisce prontamente per valutarle e affrontarle. Nel momento in cui viene segnalato un dubbio rispetto alla sicurezza, NVIDIA impiega le risorse adeguate per analizzare, convalidare e adottare azioni correttive per risolvere il problema.

BOLLETTINI DI SICUREZZA
SEGNALA UNA VULNERABILITÀ
PROCEDURE PSIRT
RICONOSCIMENTI E RINGRAZIAMENTI
CHIAVE PGP

Di seguito è riportato un elenco dei bollettini di sicurezza pubblicati. NVIDIA consiglia di seguire le linee guida fornite nei bollettini per quanto attiene agli aggiornamenti per driver e pacchetti software o specifiche migrazioni.

I clienti sono invitati a iscriversi alle notifiche sui bollettini di sicurezza NVIDIA in modo da essere sempre informati di rilasci iniziali o importanti revisioni. Puoi iscriverti alle notifiche qui.

Per informazioni sui bollettini di sicurezza NVIDIA, consulta la pagina delle politiche PSIRT.

2018

ID bollettino di sicurezza	Titolo	CVEs	Postato Originariamente In Data	Ultimo Aggiornamento
4649	Security Bulletin: NVIDIA GPU Display Driver security updates for multiple vulnerabilities	CVE-2018-6251: Denial of service or code execution CVE-2018-6247, CVE-2018-6248, CVE-2018-6249, CVE-2018-6250: Denial of service or escalation of privileges CVE-2018-6252, CVE-2018-6253: Denial of service	03/28/2018	03/28/2018
4632	Security Bulletin: NVIDIA SHIELD Tablet security update for a Media Server vulnerability	CVE-2017-6276: Denial of service and escalation of privileges	03/22/2018	03/22/2018
4635	Security Bulletin: NVIDIA Jetson TX1, Jetson TK1, Jetson TX2, and Tegra K1 L4T security updates for multiple vulnerabilities	CVE-2017-0339: Code execution, denial of service or information disclosure CVE-2017-0328, CVE- 2017-6248: Denial of service CVE-2016-6776, CVE-2017-6274, CVE-2017-6275, CVE-2017-6276, CVE-2017-6278: Denial of service and escalation of privileges CVE-2017-6282: Escalation of privileges or information disclosure CVE-2017-6283, CVE-2017-0448: Information disclosure	03/20/2018	05/25/2018
4631	Bollettino di sicurezza: aggiornamenti di sicurezza NVIDIA SHIELD TV per più vulnerabilità	Denial of Service o trasferimento di privilegi: CVE-2017-6279, CVE-2017-6281, CVE-2017-13175, CVE-2017-6276, CVE-2017-6296 Denial of Service o fuga di informazioni: CVE-2017-6295 Trasferimento di privilegi: CVE-2017-6282 Fuga di informazioni: CVE-2017-6283, CVE-2017-6284	02/15/2018	02/15/2018
4610	Bollettino di sicurezza: aggiornamenti di sicurezza di NVIDIA GeForce Experience per vulnerabilità speculative dei canali secondari della CPU	Fuga di informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/09/2018	01/16/2018
4617	Bollettino di sicurezza: aggiornamenti di sicurezza di NVIDIA Jetson TX2 L4T per vulnerabilità speculative dei canali secondari della CPU	Fuga di informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/05/2018	02/06/2018
4616	Bollettino di sicurezza: aggiornamenti di sicurezza di NVIDIA Jetson TX1, Jetson TK1 e Tegra K1 L4T per vulnerabilità speculative dei canali secondari della CPU	Fuga di informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/05/2018	02/06/2018
4614	Bollettino di sicurezza: aggiornamenti di sicurezza NVIDIA Shield Tablet per affrontare gli attacchi sui canali secondari	Divulgazione delle informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	04/01/2018	04/01/2018
4613	Bollettino di sicurezza: aggiornamenti di sicurezza NVIDIA Shield TV per affrontare gli attacchi sui canali secondari	Divulgazione delle informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	04/01/2018	04/01/2018
4611	Bollettino di sicurezza: esecuzione speculativa con canali secondari noti	Divulgazione delle informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	04/01/2018	04/01/2018
4609	Bollettino di sicurezza: Speculative Side Channels	Divulgazione delle informazioni: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	03/01/2018	03/01/2018

2017

ID bollettino di sicurezza	Titolo	CVEs	Postato Originariamente In Data	Ultimo Aggiornamento
4601	Bollettino di sicurezza: vulnerabilità NVIDIA Linux per Tegra (L4T) "KRACK"	Vulnerabilità "KRACK": Trasferimento di privilegi o fuga di informazioni: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	20/12/2017	02/01/2018
4569	Security Bulletin: NVIDIA Shield Tablet contains multiple vulnerabilities; updates for “BlueBorne” and “KRACK”	Denial of service or possible escalation of privileges: CVE-2017-0331, CVE-2017-0340, CVE-2017-0744, CVE-2017-6247, CVE-2017-6248, CVE-2017-6249, CVE-2017-6258 "BlueBorne" vulnerabilities: Remote execution: CVE-2017-0781, CVE-2017-0782 Man-in-the-middle: CVE-2017-0783 Information disclosure: CVE-2017-0785 "KRACK" vulnerabilities: Escalation of privileges or information disclosure: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	30/11/17	30/11/17
4579	Security Bulletin: NVIDIA Shield TV contains updates for "KRACK" vulnerabilities	"KRACK" Vulnerabilities: Escalation of Privileges or Information Disclosure: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088	01/11/17	01/11/17
4560	Security Bulletin: NVIDIA Tegra Jetson L4T contains multiple vulnerabilities; updates for "BlueBorne" and "Dnsmasq	Denial of service or escalation of privileges: CVE-2016-8482, CVE-2017-0307, CVE-2016-6777, CVE-2016-0834, CVE-2016-6775, CVE-2016-3815, CVE-2016-6776, CVE-2016-3847, CVE-2017-0428, CVE-2016-8424, CVE-2016-8425, CVE-2017-0331, CVE-2016-8430, CVE-2016-8428, CVE-2016-8427, CVE-2017-6273, CVE-2016-8395, CVE-2016-6789, CVE-2016-8400, CVE-2016-8449, CVE-2017-0332, CVE-2016-3930 Denial of service: CVE-2017-0306, CVE-2016-3814, CVE-2017-0326, CVE-2016-6915, CVE-2016-6916, CVE-2016-6917, CVE-2017-0327, CVE-2016-2491, CVE-2016-3793, CVE-2016-8426, CVE-2016-8429 Escalation of privileges: CVE-2017-0429, CVE-2016-2434, CVE-2016-3873, CVE-2017-0325 Information disclosure: CVE-2016-8397 "BlueBorne" Linux vulnerabilities: Remote execution: CVE-2017-0781, CVE-2017-0782 Man-in-the-middle: CVE-2017-0783 Information disclosure: CVE-2017-0785 "Dnsmasq" Linux vulnerabilities: Denial of service: CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14495, CVE-2017-14496 Information Disclosure: CVE-2017-14494	16/10/2017	17/10/2017
4560	Bollettino di sicurezza: il programma di installazione NVIDIA contiene una vulnerabilità in NVISystemService64 che influisce su GFE	CVE-2017-0316: Denial of service o trasferimento di privilegi	16/10/2017	16/10/2017
4549	Bollettino di sicurezza: NVIDIA Shield TV contiene più vulnerabilità; aggiornamento su "BlueBorne"	CVE-2017-6247, CVE-2017-6248, CVE-2017-6249, CVE-2017-6258: Denial of service o possibile trasferimento di privilegi CVE-2017-0326: Denial of service Vulnerabilità di Android™ "BlueBorne": CVE-2017-0781, CVE-2017-0782: esecuzione remota CVE-2017-0783: attacco MITM CVE-2017-0785: divulgazione di informazioni	05/10/2017	05/10/2017
4548	Bollettino di sicurezza: NVIDIA Shield TV e Tablet contengono più vulnerabilità	CVE-2016-6777, CVE-2016-6776, CVE-2016-8482, CVE-2017-0428: Denial of service o trasferimento di privilegi CVE-2016-6790, CVE-2016-6775, CVE-2016-2491, CVE-2016-6747: Denial of service CVE-2016-6789: trasferimento di privilegi CVE-2016-8397: divulgazione di informazioni	27/09/2017	27/09/2017
4544	Bollettino di sicurezza: la GPU NVIDIA contiene più vulnerabilità nel gestore layer modalità kernel	CVE-2017-6268, CVE-2017-6269, CVE-2017-6277, CVE-2017-6272: Denial of service o trasferimento di privilegi CVE-2017-6266, CVE-2017-6267, CVE-2017-6270, CVE-2017-6271: Denial of service	21/09/2017	25/09/2017
4525	Bollettino di sicurezza: la GPU NVIDIA contiene più vulnerabilità nel gestore layer modalità kernel	Denial of Service o trasferimento di privilegi: CVE-2017-6252, CVE-2017-6253, CVE-2017-6254, CVE-2017-6255, CVE-2017-6256, CVE-2017-6257 Denial of Service: CVE-2017-6259, CVE-2017-6260 Trasferimento di privilegi: CVE-2017-6251	24/07/2017	25/09/2017
4490	Bollettino di sicurezza: NVIDIA Shield TV e Tablet contengono più vulnerabilità	Denial of service o trasferimento di privilegi: CVE-2016-8400, CVE-2017-0331, CVE-2016-8395, CVE-2016-8424, CVE-2016-8425, CVE-2016-8427, CVE-2016-8428, CVE-2016-8430, CVE-2016-8429, CVE-2016-8449 Trasferimento di privilegi: CVE-2017-0429 Divulgazione delle informazioni: CVE-2016-8460, CVE-2017-0448	14/06/2017	22/06/2017
4462	Bollettino di sicurezza: il driver display della GPU NVIDIA contiene più vulnerabilità nel gestore layer modalità kernel	Denial of service o trasferimento di privilegi: CVE-2017-0341, CVE-2017-0342, CVE-2017-0343, CVE-2017-0345, CVE-2017-0346, CVE-2017-0347, CVE-2017-0348, CVE-2017-0349, CVE-2017-0351 Denial of Service: CVE-2017-0350, CVE-2017-0353, CVE-2017-0354, CVE-2017-0355 Trasferimento di privilegi: CVE-2017-0344, CVE-2017-0352	05/09/2017	25/09/2017
4459	Bollettino di sicurezza: NVIDIA GeForce Experience contiene una vulnerabilità in NVIDIA Web Helper.exe (ex pacchetto Node.js)	CVE-2017-6250: violazione dei criteri di esecuzione dell'applicazione ed esecuzione locale del codice	27/04/2017	27/04/2017
4456	Inserimento applicazione in elenco consentiti tramite node.js NVIDIA	Elusione di inserimento applicazioni in elenco attendibile: CVE-2017-6250	21/04/2017	21/04/2017
4398	Bollettino di sicurezza: il driver display della GPU NVIDIA contiene più vulnerabilità nel gestore layer modalità kernel	Denial of service o trasferimento di privilegi: CVE-2017-0308, CVE-2017-0309, CVE-2017-0311, CVE-2017-0312, CVE-2017-0313, CVE-2017-0314, CVE-2017-0315, CVE-2017-0321, CVE-2017-0322, CVE-2017-0323, CVE-2017-0324 Denial of Service: CVE-2017-0310, CVE-2017-0318, CVE-2017-0319, CVE-2017-0320 Trasferimento di privilegi: CVE-2017-0317	14/02/2017	30/05/2017

2016

ID bollettino di sicurezza	Titolo	CVEs	Postato Originariamente In Data	Ultimo Aggiornamento
4279	Rapporto di sicurezza: vulnerabilità in NVIDIA Web Helper.exe che influisce su NVIDIA GeForce Experience (CVE-2016-8827)	Divulgazione delle informazioni: CVE-2016-8827	14/12/2016	14/12/2016
4278	NVIDIA Windows GPU Display Driver contiene più vulnerabilità nel gestore layer di modalità kernel (nvlddmkm.sys) per DxgDdiEscape e Linux GPU Display Driver contiene una vulnerabilità nel layer modalità kernel (nvidia.ko)	CVE-2016-8824, CVE-2016-8821: trasferimento di privilegi CVE-2016-8822, CVE-2016-8823, CVE-2016-8825: denial of service o potenziale trasferimento di privilegi CVE-2016-8826: denial of service	14/12/2016	04/01/2016
4276	NVIDIA Shield contiene più vulnerabilità in nvhost_job.c	CVE-2016-6915, CVE-2016-6916, CVE-2016-6917: probabilità di arresto anomalo del sistema	09/12/2016	09/12/2016
4267	NVIDIA Shield contiene più vulnerabilità in Mediaserver e Kernel	CVE-2016-3847: overflow di scrittura dell'heap CVE-2016-3815: lettura dello stack del driver della lunghezza controllata dall'utente CVE-2016-3873, CVE-2016-3933, CVE-2016-3930, CVE-2016-3844, CVE-2016-3848: vulnerabilità nell'elevazione dei privilegi CVE-2016-3793: race condition use after free CVE-2016-6677, CVE-2016-6686, CVE-2016-6687, CVE-2016-6688: fuga di informazioni	30/11/2016	21/11/2016
4257	NVIDIA Windows GPU Display Driver contiene più vulnerabilità nel gestore layer modalità kernel (nvlddmkm.sys) per DxgDdiEscape	CVE-2016-8813, CVE-2016-8814, CVE-2016-8815, CVE-2016-8816, CVE-2016-8817, CVE-2016-8818, and CVE-2016-8819: denial of service o potenziale trasferimento di privilegi CVE-2016-8820: denial of service o fuga di informazioni	18/11/2016	04/1/2017
4246	NVIDIA Linux GPU Display Driver contiene controlli di autorizzazioni mancanti e vulnerabilità di convalida errate:	CVE-2016-7382 e CVE-2016-7389: trasferimento di privilegi	28/10/2016	04/1/2017
4247	NVIDIA Windows GPU Display Driver contiene più vulnerabilità nel gestore layer di modalità kernel (nvlddmkm.sys) e NVIDIA GeForce Experience contiene una vulnerabilità nel layer modalità kernel mode (nvstreamkms.sys)	NVIDIA Windows GPU Display Driver contiene più vulnerabilità nel gestore layer modalità kernel (nvlddmkm.sys): CVE-2016-8805, CVE-2016-8806, CVE-2016-8807, CVE-2016-8808, CVE-2016-8809, CVE-2016-8810, CVE-2016-8811, CVE-2016-7391, CVE-2016-7387, CVE-2016-7385, CVE-2016-7390, CVE-2016-7384, CVE-2016-7388, CVE-2016-7381, CVE-2016-7383: Denial of Service o potenziale trasferimento di privilegi CVE-2016-7382: trasferimento di privilegi CVE-2016-7386: perdita di contenuti nella memoria kernel nello spazio utente tramite buffer non inizializzato NVIDIA GeForce Experience contiene una a vulnerabilità nel layer modalità kernel (nvstreamkms.sys): CVE-2016-8812: Denial of Service o trasferimento di privilegi	28/10/2016	04/1/2017
4247	NVIDIA GeForce Experience contiene una a vulnerabilità nel layer modalità kernel (nvstreamkms.sys)	Denial of Service o trasferimento di privilegi: CVE-2016-8812	28/10/2016	09/03/2017
4213	Rapporto di sicurezza: più vulnerabilità a carico di sistemi basati su Windows Quadro, NVS e GeForce	CVE-2016-4959: Denial of Service del desktop remoto CVE-2016-3161, CVE-2016-5852: vulnerabilità nel percorso del servizio per GFE GameStream e plug-in NVTray CVE-2016-4960: elevazione di privilegi NVStreamKMS.sys CVE-2016-4961: Denial of Service per autenticazione locale NVStreamKMS.sys CVE-2016-5025: vulnerabilità Denial of Service NVAPI	19/8/2016	19/8/2016
4208	Vulnerabilità Tegra Linux Kernel Driver	Vulnerabilità individuate nei driver kernel NVIDIA Tegra che potrebbero consentire attacchi locali per trasferire privilegi o per ottenere l'esecuzione arbitraria del codice kernel.	8/02/2016	8/02/2016
4059	Security Bulletin: CVE-2016-2556: Kernel driver escape can allow access to restricted functionality	Denial of Service or Escalation of Privilege: CVE-2016-2556	02/08/2016	02/08/2016
4060	CVE-2016-2557: Kernel driver escape privileged memory access	Questo problema può portare a un aumento del rischio di accesso di codice pericoloso a risorse privilegiate. La vulnerabilità potrebbe essere sfruttata per consentire l'accesso a memoria non inizializzata o fuori limite che può portare alla divulgazione di informazioni, a blocchi o "denial of service" e potenzialmente all'escalation di privilegi.	21/03/2016	21/03/2016
4061	CVE-2016-2558: Kernel driver escape allows untrusted pointer	Questo problema può portare a un aumento del rischio di accesso di codice pericoloso a risorse privilegiate. La vulnerabilità potrebbe essere sfruttata per consentire l'accesso a memoria non inizializzata o fuori limite che può portare alla divulgazione di informazioni, a blocchi o "denial of service" e potenzialmente all'escalation di privilegi.	21/03/2016	21/03/2016

2015

ID bollettino di sicurezza	Titolo	CVEs	Postato Originariamente In Data	Ultimo Aggiornamento
3810	Google Android Stagefright Multimedia Vulnerabilities	Il motore multimediale del sistema operativo Google Android, noto come Stagefright (o libstagefright), è affetto da diverse vulnerabilità che possono permettere a un aggressore remoto di provocare un "denial of service" o l'esecuzione di codice arbitrario con permessi elevati.	20/11/2015	20/11/2015
3806	CVE-2015-7866: NVIDIA CONTROL PANEL UNQUOTED PATH	Il pannello di controllo NVIDIA su Windows è affetto da una vulnerabilità del percorso non specificata che potrebbe permettere a un aggressore locale di ottenere privilegi elevati	18/11/2015	18/11/2015
3807	CVE-2015-7865: STEREOSCOPIC 3D DRIVER SERVICE ARBITRARY RUN KEY CREATION	Escalation of Privileges: CVE-2015-7865	18/11/2015	18/11/2015
3808	Security Bulletin: CVE-2015-7869: Unsanitized user mode input	Il servizio di 3D Vision nvSCPAPISvr.exe crea una named pipe che può consentire l'elevazione dei privilegi. Negli ambienti Windows Domain, è inoltre possibile sfruttare la vulnerabilità se l'aggressore ha un account utente valido su una macchina del dominio congiunto.	18/11/2015	18/11/2015
3809	MICROSOFT DETOURS SECURITY UPDATE	Un bug nell'implementazione di Detours può ridurre l'efficacia delle funzionalità di sicurezza di alcuni sistemi operativi. NVIDIA sta rilasciando una libreria Detours aggiornata con build correnti per risolvere il problema e aggiornare i sistemi NVIDIA al livello di patch più recente di Microsoft Detours.	18/11/2015	18/11/2015
3802	Security Bulletin: CVE-2015-5053: GPU mappings of third-party device IO memory	Escalation of Privileges: CVE-2015-5053	11/09/2015	11/09/2015
3763	CVE-2015-5950 Corruzione della memoria causata da un puntatore non purificato nel driver del display NVIDIA	Nel driver NVIDIA è stata individuata una vulnerabilità che potrebbe essere usata per consentire a un utente locale, non privilegiato, di corrompere la memoria del kernel. Questa vulnerabilità potrebbe essere usata per ottenere privilegi root locali.	25/09/2015	25/09/2015
3693	CVE-2015-3625: Escalation dei privilegi per mezzo della dereferenziazione dei puntatori non purificati nel driver kernel di NVIDIA FreeBSD	Il driver kernel-level della GPU NVIDIA per FreeBSD non purifica correttamente i puntatori dello spazio utente prima di dereferenziarli.	19/06/2015	19/06/2015
4386	Bollettino di sicurezza: vulnerabilità in Bash che influiscono su NVIDIA Tegra Linux L4T	CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278: vulnerabilità in Bash descritte come "Shellshock."	03/03/2015	03/02/2017
3634	CVE-2015-1170: Controllo del privilegio di rappresentazione di Windows	Il controllo dell'amministratore del kernel del driver NVIDIA Display in alcuni casi convalida in modo inappropriato dei livelli di rappresentazione del client locale.	02/03/2015	02/03/2015
3618	CVE-2014-5332: VULNERABILITÀ NVMAP DEL KERNEL LINUX DI TEGRA	Una vulnerabilità momentanea Use-After-Free nel componente NVMap permette a un bit singolo fisso di cancellare dati in una Memory Structure riciclata. Per sfruttare questa vulnerabilità, un aggressore deve sfruttare la Race Condition che esiste tra la conversione dell'FD a un Handle Structure Pointer (un istante preciso) e l'incremento di Ref Count della Handle Structure (un altro istante) e forzare il riciclo della Handle Memory Structure da riciclare in un processo kernel nel quale il bit fisso possa essere usato a proprio vantaggio.	15/01/2015	15/01/2015

2014

ID bollettino di sicurezza	Titolo	CVEs	Postato Originariamente In Data	Ultimo Aggiornamento
3610	CVE-2014-8298: GLX-INDIRECT (inclusi CVE-2014-8093, CVE-2014-8098)	Il supporto del rendering GLX Indirect fornito dai prodotti NVIDIA è soggetto alle vulnerabilità di X.Org recentemente emerse (CVE-2014-8093, CVE-2014-8098) oltre a vulnerabilità interne già identificate in precedenza (CVE-2014-8298)./td>	09/12/2014	11/12/2014
3566	CVE-2014-0224: Vulnerabilità OpenSSL di GameStream	La libreria OpenSSL inclusa nei componenti GameStream di GeForce Experience prima della versione 2.1.1 e nello SHIELD Hub prima della versione 3.2.18713345 è soggetta alla vulnerabilità SSL/TLS MITM di OpenSSL recentemente divulgata (CVE-2014-0224). Di conseguenza, un aggressore che sfruttasse con successo questa vulnerabilità potrebbe sottrarre dati riservati dalla sessione GameStream, fra cui la password dell'utente, oltre a modificare i dati della sessione.	09/09/2014	09/09/2014
3492	CVE-2014-0160: Gamestream OpenSSL Vulnerability	La libreria OpenSSL inclusa nel componente GameStream di GeForce Experience 2.0.0 è soggetta alla vulnerabilità Heartbleed di recente scoperta. Di conseguenza, un aggressore che sfruttasse con successo questa vulnerabilità potrebbe leggere, da un altro computer, la memoria di processo del servizio GameStream e, potenzialmente, sottrarre dati riservati sulla sessione GameStream, fra cui la password dell'utente, o decrittare le future sessioni GameStream.	29/04/2014	29/04/2014

2013

ID bollettino di sicurezza	Titolo	CVEs	Postato Originariamente In Data	Ultimo Aggiornamento
3377	CVE-2013-5987: Vulnerabilità all'accesso alla GPU senza privilegi	Un bug del driver grafico NVIDIA permette a software in modalità utente senza privilegi di accedere alla GPU in modo inappropriato. Un aggressore che riuscisse a sfruttare questa vulnerabilità potrebbe assumere il controllo di un sistema interessato.	02/12/2013	02/12/2013
3290	CVE-2013-0131: Overflow del buffer del cursore ARGB della GPU UNIX NVIDIA in modalità "NoScanout"	Quando il driver NVIDIA dell'X Window System è azionato in modalità "NoScanout", e un client X installa un cursore ARGB di dimensioni maggiori rispetto a quelle previste (64x64 o 256x256, a seconda della versione del driver), il driver manda in overflow un buffer. Questo può provocare un "denial of service" (per esempio, un problema di segmentazione del server X), oppure può essere sfruttato per ottenere l'esecuzione di codice arbitrario. Dal momento che il server X viene eseguito come setuid root in molte configurazioni, un attaccante potrebbe potenzialmente utilizzare questa vulnerabilità delle configurazioni per ottenere i privilegi di root.	02/04/2013	02/04/2013
3288	CVE-2013-0109: Vulnerabilità del servizio driver di visualizzazione NVIDIA	A causa di un problema individuato nel driver NVIDIA, un soggetto malintenzionato potrebbe – forzando eccezioni e sovrascrivendo la memoria – aumentare i propri privilegi sino a ottenere il controllo amministrativo di un sistema. La vulnerabilità è associata al servizio driver di visualizzazione NVIDIA e interessa i driver NVIDIA per i sistemi operativi Windows (Windows XP/Windows Vista/Windows 7/Windows 8 - a 32 e 64 bit) a partire dai driver Release 173.	22/02/2013	22/02/2013
3288	CVE-2013-0110: Vulnerabilità del servizio driver di stereoscopia 3D NVIDIA	NVIDIA ha verificato l'esistenza di un problema del servizio driver di stereoscopia 3D NVIDIA (nvSCPAPISvr.exe), che può consentire a un soggetto malintenzionato di aumentare localmente i propri privilegi inserendo un file eseguibile nel percorso del servizio interessato. Il problema specifico dipende dal fatto che originariamente il servizio utilizzava un percorso di servizio non specificato, contenente almeno uno spazio bianco.	22/02/2013	22/02/2013
3288	CVE-2013-0111: Vulnerabilità del Daemon del servizio di aggiornamento NVIDIA	NVIDIA ha verificato l'esistenza di un problema del servizio Daemon del servizio di aggiornamento NVIDIA (daemonu.exe), che può consentire a un soggetto malintenzionato di aumentare localmente i propri privilegi inserendo un file eseguibile nel percorso del servizio interessato. Il problema specifico dipende dal fatto che originariamente il servizio utilizzava un percorso di servizio non specificato, contenente almeno uno spazio bianco.	22/02/2013	22/02/2013
3140	CVE-2012-4225: Vulnerabilità del driver grafico UNIX NVIDIA	I driver grafici UNIX NVIDIA precedenti la versione 295.71 e la versione 304.32 permettono agli utenti locali di scrivere su posizioni di memoria fisica arbitrarie e di ottenere privilegi modificando la finestra VGA usando /dev/nvidia.	02/08/2012	20/02/2013
3109	Vulnerabilità di sicurezza CVE-2012-0946 nel driver UNIX NVIDIA	Questa vulnerabilità rende possibile a un aggressore che disponga dell'accesso in lettura e scrittura ai nodi del dispositivo GPU per riconfigurare le GPU in modo da ottenere l'accesso alla memoria di sistema arbitraria.	04/04/2012	06/08/2012
1971	CVE-2006-5379: Vulnerabilità del driver grafico UNIX NVIDIA	La funzionalità di rendering accelerata del driver grafico binario NVIDIA (driver blob binario) per Linux v8774 e v8762 permette agli aggressori locali e remoti di eseguire un codice arbitrario sfruttando un glifo di carattere di larghezza molto ampia, per poi utilizzarlo per sovrascrivere posizioni di memoria arbitrarie.	18/10/2006	20/02/2013

Per segnalare un problema di sicurezza, usa i contatti appropriati descritti di seguito:

Problema	Contatto o risorsa NVIDIA
Come si segnala un problema di sicurezza su una pagina web di NVIDIA?	Scrivere un'email al Team Application Security
Come si segnala una potenziale vulnerabilità per la sicurezza in un prodotto NVIDIA?	I Partner OEM devono rivolgersi al Customer Program Manager. NVIDIA consiglia la divulgazione coordinata delle vulnerabilità della sicurezza attraverso il team Product Security Incident Response. I ricercatori, i gruppi di settore, gli enti governativi e i fornitori possono segnalare le potenziali vulnerabilità per la sicurezza a NVIDIA PSIRT utilizzando il modulo Security Vulnerability Submission o scrivendo un'email a NVIDIA PSIRT*.
Come si invia feedback su un prodotto o servizio NVIDIA?	Visita il sito web dell'assistenza NVIDIA
Dove è possibile ottenere supporto tecnico per prodotti NVIDIA?	Visita il sito web dell'assistenza NVIDIA
Dove reperire gli aggiornamenti sulla sicurezza per i prodotti NVIDIA?	Per informazioni sui bollettini di sicurezza NVIDIA, consulta la pagina delle politiche PSIRT.
Come si segnala un'email, un sito web o una finestra pop-up che dichiara falsamente di rappresentare NVIDIA?	Visita il sito web dell'assistenza NVIDIA
Come si segnala l'abuso o l'uso improprio di un prodotto o servizio NVIDIA per fini dannosi o illeciti?	Visita il sito web dell'assistenza NVIDIA
Come si denunciano casi di pirateria del software (copia, vendita o uso di un software senza licenza)?	Visita il sito web dell'assistenza NVIDIA

*Per segnalare una potenziale vulnerabilità via email, utilizzare la chiave pubblica PGP NVIDIA per la crittografia (rif. pagina Chiave PGP) e includere le seguenti informazioni:

Nome del prodotto/driver e versione/branch che contiene la vulnerabilità
Tipo di vulnerabilità (XSS, overflow del buffer, ecc.)
Istruzioni per riprodurre la vulnerabilità
Proof-of-concept o codice exploit
Impatto potenziale della vulnerabilità, incluso come potrebbe essere sfruttata per un attacco

Sommario

NVIDIA PSIRT – Gestione delle vulnerabilità
Segnalare potenziali vulnerabilità della sicurezza
Divulgazione coordinata delle vulnerabilità
Iscrizione ai bollettini e agli aggiornamenti sulla sicurezza
Richieste stampa o PR relative alle informazioni sulle vulnerabilità della sicurezza di NVIDIA
NVIDIA PSIRT - Processo di gestione delle vulnerabilità
Valutazione del rischio per la sicurezza utilizzando il sistema di punteggio delle vulnerabilità (Common Vulnerability Scoring System, CVSS)
Modalità di comunicazione delle vulnerabilità
Bollettini di sicurezza
Avviso di sicurezza
Correzione delle vulnerabilità
Diritti del cliente: garanzia, assistenza e manutenzione
Declinazione di responsabilità

NVIDIA PSIRT – Gestione delle vulnerabilità

Il team NVIDIA PSIRT che si occupa di gestire gli incidenti di sicurezza dei prodotti si pone l'obiettivo di ridurre al minimo il rischio associato alle vulnerabilità, fornendo informazioni, istruzioni e correzioni tempestive per le vulnerabilità rilevate nei prodotti. NVIDIA PSIRT è un team internazionale che gestisce la ricezione, l'indagine, il coordinamento interno, la risoluzione e la divulgazione delle informazioni sulle vulnerabilità della sicurezza per i prodotti NVIDIA.

Una delle maggiori responsabilità del team NVIDIA PSIRT è il coordinamento della risposta e la divulgazione di tutte le vulnerabilità dei prodotti NVIDIA rilevate esternamente.

Segnalare potenziali vulnerabilità della sicurezza

NVIDIA incoraggia ricercatori indipendenti, organizzazioni, fornitori, clienti e altri soggetti coinvolti a inviare segnalazioni relative alla sicurezza dei prodotti.

Per saperne di più su come segnalare una potenziale vulnerabilità, visita la pagina Segnala una vulnerabilità.

Divulgazione coordinata delle vulnerabilità (CVD)

NVIDIA fa del suo meglio per adempiere alle prassi di divulgazione coordinata delle vulnerabilità (Coordinated Vulnerability Disclosure, CVD). Il CVD è una procedura secondo la quale gli utenti indipendenti che rilevano una vulnerabilità in un prodotto contattano direttamente NVIDIA per dare il via alle indagini e porre rimedio al problema, prima che venga reso di dominio pubblico dall'utente segnalatore.

Il team NVIDIA PSIRT collabora con il segnalatore nel corso delle indagini e gli fornisce aggiornamenti sullo stato di avanzamento. Con il suo consenso, NVIDIA PSIRT potrebbe citare il segnalatore nella pagina dei riconoscimenti per aver individuato una vulnerabilità valida in un prodotto ed averla segnalata in forma privata. Una volta assicurata la protezione dei clienti, il segnalatore è autorizzato a discutere pubblicamente della vulnerabilità.

La procedura CVD di NVIDIA ci consente di tutelare i nostri clienti e allo stesso tempo di coordinare le divulgazioni al pubblico ringraziando adeguatamente i segnalatori.

Se una vulnerabilità segnalata riguarda il prodotto di un fornitore, il team NVIDIA PSIRT informerà direttamente il fornitore, coordinandosi con il segnalatore o dando mandato a un centro di coordinamento di terze parti.

Iscrizione ai bollettini e agli aggiornamenti sulla sicurezza

L'elenco di bollettini sulla sicurezza pubblicati è disponibile alla pagina Bollettini di sicurezza NVIDIA.

I clienti sono vivamente invitati a iscriversi alle notifiche sui bollettini di sicurezza NVIDIA in modo da essere sempre informati di rilasci iniziali o importanti revisioni.

Puoi iscriverti alle notifiche qui.

Per informazioni sui bollettini di sicurezza NVIDIA, vedi la sezione Bollettini di sicurezza di questo documento.

Richieste stampa o PR relative alle informazioni sulle vulnerabilità della sicurezza di NVIDIA

Contatta uno dei referenti del team di comunicazione aziendale elencati qui.

NVIDIA PSIRT - Procedura di gestione delle vulnerabilità

Il seguente grafico illustra una panoramica della procedura seguita dal team NVIDIA PSIRT.

Figura 1. Procedura seguita dal team NVIDIA PSIRT

Valutazione del rischio per la sicurezza utilizzando il sistema di punteggio delle vulnerabilità (Common Vulnerability Scoring System, CVSS)

NVIDIA utilizza attualmente il sistema Common Vulnerability Scoring System versione 3.0 (CVSS v3.0) per valutare la gravità delle vulnerabilità identificate. Il sistema CVSS consente di utilizzare un linguaggio e un metodo di assegnazione dei punteggi comune per comunicare le caratteristiche e gli impatti delle vulnerabilità. Il CVSS tenta di quantificare il livello di gravita di una vulnerabilità. Il modello CVSS utilizza tre misure o punteggi distinti, che includono: calcoli di base, temporali e ambientali, e ciascuno consiste di una serie di metriche. Lo standard completo, emanato dai Forum of Incident Response and Security Teams (FIRST), è disponibile su: https://www.first.org/cvss .

NVIDIA segue la scala di valutazione della gravità qualitativa emanata nel documento delle specifiche CVSS v3.0 (https://www.first.org/cvss/specification-document) per definire la valutazione della gravità come riportato nella tabella seguente:

Valutazione dell'impatto per la sicurezza	Punteggio CVSS
Critico	9,0 – 10,0
Alto	7,0 – 8,9
Medio	4,0 – 6,9
Basso	0,1 – 3,9
Nessuno	0,0

NVIDIA si riserva il diritto di derogare a tali linee guida in casi specifici in cui fattori aggiuntivi non siano adeguatamente rappresentati nel punteggio CVSS.

Ove applicabile, i bollettini di sicurezza NVIDIA forniranno il punteggio di base CVSS v3.0 e potenzialmente il punteggio temporale. La valutazione del rischio NVIDIA si basa su una media del rischio su una serie eterogenea di sistemi installati e potrebbe non rappresentare il rischio reale per l'installazione locale.

NVIDIA consiglia di consultare un professionista della sicurezza o IT per valutare il rischio della configurazione specifica e incoraggia gli utenti a calcolare il punteggio ambientale in base ai parametri della propria rete. NVIDIA consiglia a tutti i clienti di tenere conto dei punteggi di base, temporali e ambientali che siano pertinenti al proprio ambiente al fine di valutare il rischio complessivo. Il punteggio complessivo fotografa un momento preciso nel tempo e non è calibrato per l'ambiente specifico. Rivolgersi a un professionista IT o della sicurezza per valutare il problema e il punteggio finale in modo da stabilire le priorità all'interno del proprio ambiente.

Modalità di comunicazione delle vulnerabilità

NVIDIA usa le seguenti linee guida per le vulnerabilità di software di terze parti, al fine di determinare il piano di comunicazione appropriato:

Valutazione dell'impatto per la sicurezza	Punteggio CVSS	Piano di comunicazione
Critico	9,0 - 10,0	Bollettino di sicurezza NVIDIA
Alto	7,0 - 8,9
Medio	4,0 - 6,9
Basso	3,9 o inferiore	Note di rilascio del prodotto

In caso di problemi di sicurezza in un componente software di terze parti utilizzato in un prodotto NVIDIA, NVIDIA si riserva di pubblicare un Bollettino di sicurezza. Se viene pubblicato un Bollettino di sicurezza relativo a una vulnerabilità riscontrata in un componente software di terze parti, NVIDIA di norma utilizza il punteggio CVSS fornito dall'autore del componente. In alcuni casi, NVIDIA potrebbe rettificare il punteggio CVSS per riflettere l'impatto sul prodotto NVIDIA.

NVIDIA si riserva il diritto di derogare a tali linee guida in casi specifici in cui fattori aggiuntivi non siano adeguatamente rappresentati nel punteggio CVSS.

Bollettini di sicurezza

Nella maggior parte dei casi, NVIDIA ha tutta l'intenzione di informare i clienti ove venga identificata una soluzione pratica o una correzione per una vulnerabilità della sicurezza. L'informazione viene divulgata attraverso comunicazioni mirate o tramite la pubblicazione di un Bollettino di sicurezza nell'apposita pagina del sito. Nel secondo caso, il Bollettino di sicurezza verrà pubblicato al termine della procedura attuata dal team NVIDIA PSIRT e ove venga stabilita la possibilità di attuare rimedi o patch per risolvere la vulnerabilità, o a seguito della pianificazione di una divulgazione pubblica di codici di correzione.

I Bollettini di sicurezza tentano di bilanciare la quantità giusta di informazioni fornendo dettagli sufficienti per consentire ai clienti di tutelarsi, ma evitando di divulgare dati che potrebbero consentire a malintenzionati di approfittare delle informazioni. I Bollettini di sicurezza NVIDIA includono, di norma, le seguenti informazioni (ove pertinente):

Prodotti e versioni coinvolti
Identificativo della vulnerabilità (Common Vulnerability Enumeration, CVE), vedere http://cve.mitre.org
Breve descrizione della vulnerabilità e del potenziale impatto in caso di attacco
Punteggio di gravità CVSS della vulnerabilità, vedere http://www.first.org/cvss/cvss-guide.html
Dettagli sui rimedi, ad esempio upgrade, correzione, mitigazione o altre azioni
Riconoscimenti al segnalatore della vulnerabilità e ringraziamenti per la collaborazione con NVIDIA nell'attuazione della divulgazione coordinata della vulnerabilità

NVIDIA non fornirà ulteriori informazioni sulle specifiche delle vulnerabilità oltre a quanto indicato nel Bollettino di sicurezza e nella documentazione correlata, ad esempio note di rilascio, articoli della Knowledge Base, FAQ, ecc. NVIDIA non distribuisce codice exploit/proof of concept per le vulnerabilità identificate.

In conformità agli standard di settore, NVIDIA non condivide i rilevamenti dei test di sicurezza interni né altri tipi di attività correlate alla sicurezza con entità esterne. È importante sottolineare che qualsiasi scansione dei sistemi di produzione NVIDIA verrà considerata come un attacco. Se sei un partner OEM, collabora con il tuo Program Manager NVIDIA.

I Bollettini di sicurezza NVIDIA vengono pubblicati sull'apposita pagina del sito. Puoi iscriverti alle notifiche qui.

Avviso di sicurezza

NVIDIA si riserva di rilasciare una comunicazione speciale per rispondere rapidamente e in modo appropriato a divulgazione pubbliche nei casi in cui la vulnerabilità abbia ricevuto una significativa attenzione da parte del pubblico, i codici exploit possano essere resi pubblici o sussiste la possibilità che la vulnerabilità venga sfruttata. In casi di questo tipo, NVIDIA si riserva di accelerare la comunicazione e potrebbe o non potrebbe includere una serie completa di patch o soluzioni. Comunicazioni di questo tipo sono etichettate come Avviso di sicurezza e pubblicate nella pagina dei bollettini di sicurezza.

Correzione della vulnerabilità

NVIDIA prende molto seriamente le questioni relative alla sicurezza e agisce prontamente per valutarle e risolvere in modo tempestivo. I tempi di risposta variano a seconda di diversi fattori, tra cui: gravità, prodotto coinvolto, ciclo di sviluppo corrente, cicli di controllo qualità e la possibilità di inserire l'aggiornamento in una release importante.

La correzione potrebbe avvenire in una o più tra le seguenti modalità:

Nuova release
Patch distribuita da NVIDIA
Istruzioni per scaricare e installare un aggiornamento o una patch da una terza parte

Soluzione per ridurre la vulnerabilità

Diritti dei clienti: garanzie, assistenza e manutenzione

I diritti dei clienti NVIDIA rispetto alle garanzie, all'assistenza e alla manutenzione, incluse le vulnerabilità, in prodotti software NVIDIA sono disciplinati dall'accordo pertinente tra NVIDIA e ciascun cliente.

Le dichiarazioni rilasciate in questa pagina web non modificano né estendono eventuali diritti dei clienti e non danno luogo a garanzie ulteriori. Qualsiasi informazione fornita da NVIDIA in merito a vulnerabilità nei prodotti NVIDIA, incluse tutte le informazioni riportate nei report delle vulnerabilità sono di esclusiva proprietà di NVIDIA.

Declinazione di responsabilità

Tutti gli aspetti della procedura e dalle modalità seguite dal team NVIDIA PSIRT sono soggetti a modifica senza preavviso e caso per caso. La risposta a eventuali problemi o categorie di problemi non è garantita. L'utilizzo da parte degli utenti delle informazioni contenute nel documento o nei materiali collegati è a proprio rischio. NVIDIA si riserva il diritto di modificare o aggiornare il presente documento senza preavviso e in qualsiasi momento.

TUTTE LE INFORMAZIONI, LE SPECIFICHE DI PROGETTI, I RIFERIMENTI, I FILE, I DISEGNI I DATI DIAGNOSTICI, GLI ELENCHI E ALTRI DOCUMENTI DI NVIDIA (SINGOLARMENTE E COLLETTIVAMENTE IL "MATERIALE") VENGONO FORNITI "COSÌ COME SONO". NVIDIA NON CONCEDE ALCUNA GARANZIA IMPLICITA, ESPLICITA O DI ALTRA NATURA RISPETTO AL MATERIALE E TUTTE LE CONDIZIONI, DICHIARAZIONI E GARANZIE ESPLICITE O IMPLICITE, TRA CUI EVENTUALI GARANZIE IMPLICITE O CONDIZIONI DI TITOLARITÀ, COMMERCIABILITÀ, QUALITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO E NON VIOLAZIONE DEI DIRITTI ALTRUI SONO ESCLUSE CON IL PRESENTE NELLA MISURA MASSIMA CONSENTITA DALLA LEGGE.

Le informazioni ivi fornite si ritengono precise e affidabili al momento della pubblicazione. Tuttavia, NVIDIA Corporation declina ogni responsabilità in merito alle conseguenze derivanti dall'uso di tali informazioni o da qualsiasi violazione di brevetti o altri diritti di terze parti che possano conseguire dal loro uso. Non si concede alcuna licenza implicita o di altra natura in base ad alcun brevetto o diritto di autore di proprietà di NVIDIA Corporation. Le specifiche tecniche menzionate nella presente pubblicazione sono soggette a modifica senza preavviso. La presente pubblicazione sostituisce tutte le informazioni precedentemente fornite. È vietato l'uso dei prodotti NVIDIA Corporation come componenti critici in dispositivi e sistemi di assistenza medica vitale senza previo consenso scritto di NVIDIA Corporation.

NVIDIA incoraggia la divulgazione coordinata delle vulnerabilità della sicurezza attraverso il modulo Security Vulnerability Submission.

NVIDIA ringrazia le seguenti persone e organizzazioni per la loro collaborazione nel rendere i prodotti più sicuri.

2017

ID bollettino di sicurezza	CVEs	Riconoscimento
4561	CVE-2017-0306 CVE-2016-6915 CVE-2016-6916 CVE-2016-6917	Nathan Crandall, Tesla Motors Product Security Team
4560	CVE-2017-0316	Tim Harrison
4544	CVE-2017-6269 CVE-2017-6270 CVE-2017-6271	Enrique Nissim, IOActive
4525	CVE-2017-6256	Enrique Nissim, IOActive
4525	CVE-2017-6259	Andrei Lascu e Alastair Donaldson, Multicore Programming Group dell'Imperial College di Londra
4398	CVE-2017-0312 CVE-2017-0313	Oliver Chang, Google Project Zero
4398	CVE-2017-0317	Ryan Whitworth
N/A	N/A	Kushal Arvind Shah, Fortinet's FortiGuard Labs
N/A	N/A	Tim Harrison

2016

ID bollettino di sicurezza	CVEs	Riconoscimento
4279	CVE-2016-8827	Oden Schmit
4278	CVE-2016-8822	Oliver Chang, Google Project Zero
4278	CVE-2016-8823	Piotr Bania, Cisco Talos
4276	CVE-2016-6915 CVE-2016-6916 CVE-2016-6917	Nathan Crandall, Tesla Motors Product Security Team
4267	CVE-2016-3847 CVE-2016-3848	Nathan Crandall, Tesla Motors Product Security Team
4267	CVE-2016-3793	Peter Pi, Trend Micro
4267	CVE-2016-3815	Scott Bauer
4267	CVE-2016-3844	Chiachih Wu, CORE Team
4267	CVE-2016-3844	Mingjian Zhou, CORE Team
4267	CVE-2016-3844	Xuxian Jiang, CORE Team
4267	CVE-2016-3873	Sagi Kedmi, IBM Security X-Force Researcher
4267	CVE-2016-6688 CVE-2016-6677 CVE-2016-6687 CVE-2016-6686 CVE-2016-3930	Jianqiang Zhao
4267	CVE-2016-6688 CVE-2016-6677 CVE-2016-6687 CVE-2016-6686 CVE-2016-3930	PJF, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4267	CVE-2016-3933	Mingjian Zhou, CORE Team
4267	CVE-2016-3933	Chiachih Wu, CORE Team
4267	CVE-2016-3933	Xuxian Jiang, CORE Team
4247	CVE-2016-8805 CVE-2016-8806 CVE-2016-8807 CVE-2016-8808 CVE-2016-8809 CVE-2016-8810 CVE-2016-8811 CVE-2016-8812 CVE-2016-7391 CVE-2016-7387 CVE-2016-7385 CVE-2016-7390 CVE-2016-7384 CVE-2016-7386	Oliver Chang, Google Project Zero
4213	CVE-2016-4959	Tripwire VERT
4213	CVE-2016-3161 CVE-2016-5852	Alin Ghica
4213	CVE-2016-4960 CVE-2016-4961	Joseph Bialek, Microsoft Vulnerability Research
4213	CVE-2016-5025	Daniel Cornel
4208	CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2445 CVE-2016-2446	Jianqiang Zhao, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4208	CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2445 CVE-2016-2446	PJF, IceSword Lab, Qihoo 360 Technology Co. Ltd.
4208	CVE-2016-2437	Yuan-Tsung Lo, CORE Team
4208	CVE-2016-2437	Lubo Zhang, CORE Team
4208	CVE-2016-2437	Chiachih Wu, CORE Team
4208	CVE-2016-2437	Xuxian Jiang, CORE Team

2015

ID bollettino di sicurezza	CVEs	Riconoscimento
3810	CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829 CVE-2015-3864	Joshua J. Drake, Zimperium
3809	No CVE	McAfee/Intel Security, in collaborazione con NVIDIA
3808	CVE-2015-7869	Axel Monroy, Intel, in collaborazione con NVIDIA
3808	CVE-2015-7869	Nikita Tarakanov, Intel, in collaborazione con NVIDIA
3806	CVE-2015-7866	Wesley Daniels
3802	CVE-2015-5053	Mellanox Technologies in collaborazione con NVIDIA
3763	CVE-2015-5950	Dario Weisser
3634	CVE-2015-1170	James Forshaw, Google Project Zero

2014

ID bollettino di sicurezza	CVEs	Riconoscimento
3618	CVE-2014-5332	Lee Campbell, Google Chrome Security
3610	CVE-2014-8093 CVE-2014-8098	Adam Jackson
3610	CVE-2014-8093 CVE-2014-8098	Alan Coopersmith
3610	CVE-2014-8298	Robert Morell, NVIDIA

2013

ID bollettino di sicurezza	CVEs	Riconoscimento
3377	CVE-2013-5987	Marcin Kościelnicki, X.Org Foundation Nouveau Project

Chiave PGP pubblica NVIDIA per la comunicazione.

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: PGP Universal 3.4.2 (Build 289)
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=aOdk
-----END PGP PUBLIC KEY BLOCK-----

Sicurezza dei prodotti

2018

2017

2016

2015

2014

2013

Sommario

NVIDIA PSIRT – Gestione delle vulnerabilità

Segnalare potenziali vulnerabilità della sicurezza

Divulgazione coordinata delle vulnerabilità (CVD)

Iscrizione ai bollettini e agli aggiornamenti sulla sicurezza

Richieste stampa o PR relative alle informazioni sulle vulnerabilità della sicurezza di NVIDIA

NVIDIA PSIRT - Procedura di gestione delle vulnerabilità

Valutazione del rischio per la sicurezza utilizzando il sistema di punteggio delle vulnerabilità (Common Vulnerability Scoring System, CVSS)

Modalità di comunicazione delle vulnerabilità

Bollettini di sicurezza

Correzione della vulnerabilità

Diritti dei clienti: garanzie, assistenza e manutenzione

Declinazione di responsabilità

2017

2016

2015

2014

2013

Sicurezza
dei prodotti