Nvidia GPU驱动器配套的控制面板中存在一个安全漏洞,允许攻击者通过系统权限升级发动恶意攻击。
这个安全漏洞虽然不是在GPU驱动器而是在控制面板上,也就是Smart Maximize Helper上。Smart Maximize Helper为多屏设置的Windows操作系统提供增强版的全屏支持功能。
安全专家表示,一个基础的编程错误、丢掉的双引号是罪魁祸首,它们让攻击者可通过Smart Maximize Helper功能附加恶意指令。由于Smart Maximize Helper功能能在将app变为全屏模式时取多个参数,但黑客能够将恶意代码添加到nvSmartMaxapp.exe和nvSmartMaxapp64.exe文件中,而且让代码以系统权限执行。
虽然这个漏洞(CVE-2015-7866)的具体细节尚未公布,但研究人员表示,Nvidia的GeForce和Quadro GPU产品受到影响。
Nvidia两周前为R340、R352、和R358产品线发布了GeForce 驱动器341.92、354.35和358.87版本,目的是修复这个问题。公司指出目前尚未发现有利用该漏洞的攻击出现。