NVIDIA lukker sårbarheder i GeForce Experience

ampere rtx nvidia okt proshop
NVIDIA udgav en sikkerhedsopdatering til Windows NVIDIA GeForce Experience (GFE) -appen for at løse sårbarheder, der kunne gøre det muligt for angribere at ”execute arbitrary code”, eskalere privilegier, få adgang til følsomme oplysninger eller udløse en denial of service (DoS) -tilstand på systemer, der kører ikke-patchet software. NVIDIA anbefaler derfor man snarest muligt opdaterer softwaren.

NVIDIA GFE er et ledsagende funktion til GeForce GTX-grafikkort, der "keeps your drivers up to date, automatically optimizes your game settings, and gives you the easiest way to share your greatest gaming moments with friends", ifølge NVIDIA,

Mens disse mangler kræver, at angribere har lokal brugeradgang og ikke kan udnyttes eksternt, kan de stadig misbruges ved hjælp af ondsindede værktøjer, der er installeret på systemer, der har sårbare NVIDIA GFE-versioner installeret.

Derudover er angreb, der udnytter disse bugs, af lav kompleksitet ifølge NVIDIA, mens de også kræver lave privilegier og ikke behøver brugerinteraktion.



Ukontrolleret fejl i søgestien fører til udførelse af kode

CVE-2020-5977, den fejl med den højeste markeret sværhedsgrad, der er patchet i dag af NVIDIA, kan føre til eskalering af privilegier og kodeudførelse, hvis hackeren vel og mærke skaffer sig adgang til dit system.

Det giver også hackere mulighed for at gøre Windows-computere, der har upatchet NVIDIA GFE software ubrugelige, ved at udløse en denial of service-tilstand.

CVE ‑ 2020-5977-sårbarheden blev rapporteret af Decathlons Xavier DANEST, og den består af en ukontrolleret søgesti, der bruges ved indlæsning af et NVIDIA Web Helper NodeJS Webserver-nodemodul.

Den anden bug med høj noteret sværhedsgrad, CVE-2020-5990, findes i ShadowPlay-komponenten, og den blev rapporteret af Hashim Jawad fra ACTIVELabs.

De tre sårbarheder, der er rettet i sikkerhedsopdateringen i oktober 2020, er beskrevet nedenfor sammen med fulde beskrivelser og CVSS V3-basescore tildelt af NVIDIA.

nvidia sikkerhedsfejl.JPG

NVIDIA fortæller at "risk assessment is based on an average of risk across a diverse set of installed systems and may not represent the true risk of your local installation."

Fra NVIDIA lyder det ligeledes "consulting a security or IT professional to evaluate the risk to your specific configuration."

Berørte GeForce Experience-versioner

Sårbarhederne påvirker kun computere, der kører Windows- og NVIDIA GeForce Experience-versioner før 3.20.5.70, den version, der følger med rettelser til de tre fejl.

For at anvende sikkerhedsopdateringen skal du downloade den nyeste softwareversion (dvs. 3.20.5.70) fra GeForce Experience Downloads-siden eller starte GFE-klienten for automatisk at anvende den via den indbyggede opdateringsmekanisme.

 
Source & Image credit:

NVIDIA