NVIDIA исправила серьезную уязвимость в GeForce Experience. Обновите приложение

2019-12-24 5441 комментарии
23 декабря компания NVIDIA выпустила обновление безопасности для приложения NVIDIA GeForce Experience (GFE) для Windows, исправляющее опасную уязвимость CVE-2019-5702

Уязвимость позволяет локальным злоумышленникам вызывать состояние отказа в обслуживании (denial of service, DoS) или повышать уровень привилегий в непропатченных системах.

Для проведения атаки злоумышленник должен получить локальный доступ к системе, осуществить эксплуатацию удаленно можно только после размещения в системах с уязвимой версией GFE специальных вредоносных инструментов.

NVIDIA сообщает, что эксплуатация данной уязвимости имеет низкий уровень сложности. Атакующему не требуются повышенные права доступа и не нужно взаимодействовать с жертвой.

NVIDIA GeForce Experience – приложение-компаньон для систем с видеокартами GeForce GTX, которое позволяет «своевременно обновлять драйвера, автоматически оптимизировать игровые настройки и делиться важными игровыми моментами с друзьями».

NVIDIA GeForce Experience

Уязвимости присвоен высокий уровень опасности

За счет эксплуатации уязвимости с идентификатором CVE-2019-5702, злоумышленники могут повысить привилегии относительно первоначально предоставленных системой прав.

Кроме того, успешная эксплуатация уязвимости позволяет вызвать состояние отказа в обслуживании на машинах Windows.

Уязвимость CVE-2019-5702 была исправлена в обновлении безопасности от декабря 2019 года. Ниже приведено полное описание уязвимости и базовая метрика по стандарту CVSS V3.

CVE Описание Базовый показатель Вектор
CVE-2019-5702 NVIDIA GeForce Experience содержит уязвимость: если включена технология NVIDIA GameStream, то злоумышленник с локальным доступом к системе может повредить системный файл, что в свою очередь приводит к возникновению состояния отказа в обслуживании или повышению привилегий 8.4 AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

NVIDIA заявляет, что «оценка риска основана на показателе среднего риска для разнообразного набора установленных систем и может не отражать истинный риск вашей локальной установки».

Компания рекомендует проконсультироваться со специалистом по компьютерной безопасности или ИТ-инженером, чтобы оценить риск для вашей конкретной конфигурации.

Затронутые версии GeForce Experience

Проблема безопасности наблюдается во всех системах Windows с запущенными версиями NVIDIA GeForce Experience до 3.20.2.

NVIDIA предупреждает, что «ранние ветки релизов также подвержены уязвимости. Пользователям рекомендуется обновиться до новейшей релизной ветки».

Скачать NVIDIA GeForce Experience

Чтобы установить обновление безопасности, нужно загрузить новейшую версию GeForce Experience на нашем сайте или на официальном сайте NVIDIA. Также можно запустить клиентское приложение GFE, которое автоматически установит патч через встроенную службу обновлений.

В мае и ноябре этого года NVIDIA уже выпускала патчи, исправляющие уязвимости высокого уровня опасности в GeForce Experience. Проблемы безопасности позволяли локальным злоумышленникам повышать уровень привилегий, выполнять произвольный код или вызывать состояние отказа в обслуживании на уязвимых машинах Windows.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?