聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士团队
NVIDIA(英伟达)为 Windows 10版本的 NVIDIA GeForce Experience 软件发布安全更新,修复了一个高危漏洞,它可导致具有基本的用户权限的潜在本地攻击者提升权限、触发执行并执行拒绝服务攻击。
虽然这个漏洞要求本地用户访问权限且无法遭远程利用,但准攻击者能够使用运行易受攻击版本的 NVIDIA GeForce Experience 的系统上的多种方法远程植入恶意工具并利用该漏洞。
被评估为“高危”级别
恶意人员能利用该漏洞提升权限,从而能够获取除了系统本身授予权限以外的其它权限,从而在受攻陷系统上执行恶意代码并通过触发拒绝服务攻击导致机器不可用。
NVIDIA 已修复该漏洞 CVE-2019-5674,且将其 CVSSv3 评分的基础分评为8.8分。该公司指出,当启用 ShadowPlay、NvContainer或 GameStream 时,NVIDIA GeForce Experience 中包含一个漏洞。当打开文件时,该软件未检查硬链接,从而导致代码执行、拒绝服务或权限提升问题。该漏洞是由水牛安全实验室的研究员 David Yesland 报告的。
影响3.18前的所有版本
CVE-2019-5674影响安装了 NVIDIA GeForce Experience 3.18版本以前且启用了 ShadowPlay、NvContainer或 GameStream的 Windows 计算机。
NVIDIA 指出,“风险评估基于大量已安装系统的平均风险情况,可能并不代表本地安装的实际风险。NVIDIA 建议用户咨询安全或 IT 专业人员评估对具体配置的风险。”
用户可导官网下载页面下载最新版本或登录客户端使用内置的自动更新机制应用安全更新。
上个月,NVIDIA 也发布了针对 NVIDIA GPU 显示驱动软件的安全更新,它修复了8个安全漏洞,它们本可导致代码执行、权限提升、拒绝服务或信息泄漏问题,影响 Windows 和 Linux 设备。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/nvidia-patches-high-severity-geforce-experience-vulnerability/
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。
代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。