2026年5月19日,NVIDIA发布了一份安全公告,指出GPU驱动和vGPU软件中存在15个高危漏洞,这些漏洞覆盖了从家用GeForce到企业级Tesla的所有设备,无论用户用的是Windows还是Linux系统,都会受到影响,其中最严重的是那个CVSS评分7.8的内核级问题,本地用户可以通过它绕过权限限制,随意执行代码、提升权限、窃取数据,甚至让整个系统瘫痪,这种情况不是偶然发生的,而是因为图形驱动变得越来越复杂,但测试工作却没有跟上发展节奏导致的。
其实NVIDIA在5月12日就悄悄修好了这些漏洞,那天他们发布了GeForce Game Ready 596.49驱动,说是给《极限竞速:地平线6》做性能优化,但压根没提这版驱动把15个漏洞都补上了,用户以为只是游戏更新,点一下安装,安全防护就完成了,这种做法挺常见的,厂商担心用户看到“高危漏洞”会紧张,就把修复藏在功能更新里一起推送,我倒觉得这样反而让人更难搞清楚自己到底安不安全。
很多人都不知道应该更新驱动,第三方数据显示到5月20日为止,还有32%的GeForce用户停留在596.36之前的版本,这些设备大多是办公室电脑、学校机房或小公司的服务器,他们习惯关闭自动更新功能,或者被IT部门限制不让升级,大家总觉得“不出问题就不用去动”,结果正好撞上漏洞的风险,Linux用户情况更麻烦,没有像GeForce Experience那样的一键安装工具,得自己去官网找更新、查日志记录、手动安装驱动程序,很多AI训练用的服务器还在使用旧版本,面对的安全风险比普通用户要高得多。
还有一个容易被忽略的问题,就是vGPU虚拟化软件也存在漏洞,它用在云桌面服务里,比如阿里云、AWS的远程工作站,如果云厂商没有及时更新补丁,租户之间就可能出现越权访问,本来你只能查看自己的数据,但别人却可能接触到你的内存内容,目前还没有看到哪家云厂商公开回应这件事,NVIDIA这次也没有走常规流程,他们没有给每个漏洞单独分配CVE编号,而是打包处理,虽然省事了,但安全研究人员想要审计就变得很难下手。
现在是5月22日,只要你用的驱动版本比596.49低,无论台式机、工作站还是云主机,都会受到影响,建议你赶紧去官网或NVIDIA App里检查版本,Linux用户尤其要注意发布日期。
全部评论