NVIDIA vừa công bố một cảnh báo CVE bảo mật nghiêm trọng, khắc phục nhiều lỗ hổng CVE có mức độ nghiêm trọng cao trong GPU Display Driver, phần mềm vGPU và các thành phần HD Audio của hãng.
Các lỗ hổng CVE này có thể cho phép kẻ tấn công thực thi mã tùy ý và leo thang đặc quyền trên các hệ thống bị ảnh hưởng.
Các lỗ hổng được công bố vào ngày 28 tháng 1 năm 2026, ảnh hưởng đến cả nền tảng Windows và Linux.
Chúng bao gồm các dòng sản phẩm GeForce, RTX, Quadro, NVS và Tesla.
Phân tích các lỗ hổng CVE nghiêm trọng trên Windows
Hai lỗ hổng CVE nghiêm trọng nhất trên nền tảng Windows bao gồm:
- CVE-2025-33217: Đây là một lỗi use-after-free trong Windows Display Driver. Lỗi này xảy ra khi chương trình cố gắng sử dụng một vùng bộ nhớ đã được giải phóng, dẫn đến hành vi không xác định hoặc thực thi mã độc hại.
- CVE-2025-33218: Đây là một điểm yếu tràn số nguyên (integer overflow) trong lớp kernel mode (
nvlddmkm.sys). Lỗi này có thể bị lợi dụng để ghi đè lên các vùng bộ nhớ quan trọng, dẫn đến thực thi mã tùy ý.
Cả hai lỗ hổng CVE này đều có điểm CVSS là 7.8 (cao) và chỉ yêu cầu đặc quyền cấp thấp (low-level privileges) để khai thác.
Nhà nghiên cứu bảo mật Kentaro Kawane đã phát hiện ra những điểm yếu này. Việc khai thác có thể cho phép kẻ tấn công có quyền truy cập cục bộ:
- Thực thi mã độc hại.
- Leo thang đặc quyền hệ thống.
- Giả mạo dữ liệu.
- Kích hoạt điều kiện từ chối dịch vụ (DoS).
- Tiết lộ thông tin nhạy cảm.
Ảnh hưởng đến Linux Display Driver
Linux Display Driver cũng bị ảnh hưởng bởi CVE-2025-33219, một lỗ hổng CVE tràn số nguyên trong module kernel của NVIDIA.
Lỗ hổng này được báo cáo bởi Sam Lovejoy và Valentina Palmiotti.
Điểm yếu này gây ra các rủi ro tương tự cho các hệ thống dựa trên Linux đang chạy các phiên bản driver dễ bị tấn công trên nhiều nhánh phát hành, bao gồm R590, R580, R570 và R535.
Rủi ro cho Môi trường Ảo hóa và Cloud Gaming
Cơ sở hạ tầng ảo hóa của NVIDIA đối mặt với các mối đe dọa bổ sung thông qua CVE-2025-33220.
Lỗ hổng này ảnh hưởng đến Virtual GPU Manager trong các triển khai phần mềm vGPU.
Heap-Memory-Access-After-Free trong vGPU
CVE-2025-33220 là một lỗ hổng CVE thuộc loại heap-memory-access-after-free.
Nó cho phép các máy ảo khách độc hại (malicious guest virtual machines) làm tổn hại đến hypervisor cơ bản.
Điều này có thể ảnh hưởng nghiêm trọng đến các môi trường ảo hóa doanh nghiệp chạy XenServer, VMware vSphere, Red Hat Enterprise Linux KVM và các nền tảng Ubuntu.
Nền tảng NVIDIA Cloud Gaming, sử dụng các công nghệ ảo hóa tương tự, cũng bị ảnh hưởng bởi CVE-2025-33219 trong cả guest drivers và các thành phần Virtual GPU Manager tính đến tháng 11 năm 2025.
Khuyến nghị và bản vá bảo mật
NVIDIA khuyến nghị người dùng cập nhật ngay lập tức lên các phiên bản driver đã được vá lỗi.
Người dùng có thể tìm các bản cập nhật qua cổng NVIDIA Driver Downloads hoặc NVIDIA Licensing Portal cho các triển khai vGPU và Cloud Gaming.
Phiên bản Driver được vá lỗi
Đối với người dùng Windows:
R590: 591.59
R580: 582.16
R570: 573.96
R535: 539.64
Đối với người dùng Linux:
R590: 590.48.01
R580: 580.126.09
R570: 570.211.01
R535: 535.288.01
Việc cập nhật các bản vá bảo mật này là rất quan trọng để giảm thiểu các rủi ro an ninh mạng nghiêm trọng đã được xác định từ các lỗ hổng CVE này.
