NVIDIA jogosultságkezelési sérülékenység vizsgálata
A LevelBlue elemzése a CVE-2026-24190 technikai hátterét vizsgálja, amely az NVIDIA Windows és Linux GPU-meghajtóinak kernelmódú rétegében található jogosultságkezelési hibából ered. A sérülékenység hivatalos besorolása szerint egy helyi támadó alacsony jogosultsági szintről képes lehet jogosulatlan hozzáférést szerezni GPU-erőforrásokhoz, ami jogosultságkiterjesztéshez, információszivárgáshoz, adatmódosításhoz, szolgáltatásmegtagadáshoz vagy akár kódfuttatáshoz vezethet.
A kutatás szerint a probléma gyökere nem egy klasszikus memória-korrupciós hiba, hanem a GPU-erőforrásokhoz kapcsolódó hozzáférés-ellenőrzési mechanizmus hiányossága. Az NVIDIA kernelkomponense bizonyos körülmények között nem megfelelően validálta a felhasználói folyamatok és a GPU-objektumok közötti jogosultsági kapcsolatot, így egy lokális támadó olyan memóriaterületekhez vagy GPU-kezelő objektumokhoz férhetett hozzá, amelyekhez normál esetben nem lett volna jogosultsága.
A modern AI-infrastruktúrákban a GPU már nem pusztán grafikus gyorsító. Nagyvállalati és felhőalapú környezetekben ugyanazon fizikai GPU-n több felhasználó, konténer vagy virtuális gép is osztozhat. Egy ilyen helyzetben a GPU-driver hibái potenciálisan átléphetik az egyes munkaterhelések közötti izolációs határokat. Különösen érzékenyek lehetnek a többfelhasználós AI-fürtök, HPC-rendszerek, valamint a virtualizált NVIDIA vGPU és MIG (Multi-Instance GPU) környezetek, ahol különböző szervezeti egységek vagy ügyfelek osztoznak ugyanazon hardveren.
A CVSS besorolás alapján a támadónak előzetesen hozzáférést kell szereznie a rendszerhez és legalább alacsony szintű jogosultsággal kell rendelkeznie. Emiatt a CVE-2026-24190 elsősorban egy post-exploitation eszköznek tekinthető, egy már kompromittált végponton vagy szerveren lehetővé teheti a magasabb jogosultság megszerzését, a védelem megkerülését vagy más felhasználók adatainak elérését. Ez különösen releváns AI-fejlesztői környezetekben, ahol kutatók, fejlesztők és automatizált folyamatok közösen használják ugyanazokat a GPU-erőforrásokat.
Az NVIDIA a hibát a 2026. májusi biztonsági frissítések részeként javította. Az érintett Windows és Linux driverágak számára kiadott frissítések telepítése szükséges minden olyan környezetben, ahol NVIDIA GPU-k futtatnak AI-, HPC- vagy virtualizációs terheléseket.
