Уязвимость позволяет локальным злоумышленникам вызывать состояние отказа в обслуживании (denial of service, DoS) или повышать уровень привилегий в непропатченных системах.
Для проведения атаки злоумышленник должен получить локальный доступ к системе, осуществить эксплуатацию удаленно можно только после размещения в системах с уязвимой версией GFE специальных вредоносных инструментов.
NVIDIA сообщает, что эксплуатация данной уязвимости имеет низкий уровень сложности. Атакующему не требуются повышенные права доступа и не нужно взаимодействовать с жертвой.
NVIDIA GeForce Experience – приложение-компаньон для систем с видеокартами GeForce GTX, которое позволяет «своевременно обновлять драйвера, автоматически оптимизировать игровые настройки и делиться важными игровыми моментами с друзьями».
Уязвимости присвоен высокий уровень опасности
За счет эксплуатации уязвимости с идентификатором CVE-2019-5702, злоумышленники могут повысить привилегии относительно первоначально предоставленных системой прав.
Кроме того, успешная эксплуатация уязвимости позволяет вызвать состояние отказа в обслуживании на машинах Windows.
Уязвимость CVE-2019-5702 была исправлена в обновлении безопасности от декабря 2019 года. Ниже приведено полное описание уязвимости и базовая метрика по стандарту CVSS V3.
| CVE | Описание | Базовый показатель | Вектор |
|---|---|---|---|
| CVE-2019-5702 | NVIDIA GeForce Experience содержит уязвимость: если включена технология NVIDIA GameStream, то злоумышленник с локальным доступом к системе может повредить системный файл, что в свою очередь приводит к возникновению состояния отказа в обслуживании или повышению привилегий | 8.4 | AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H |
NVIDIA заявляет, что «оценка риска основана на показателе среднего риска для разнообразного набора установленных систем и может не отражать истинный риск вашей локальной установки».
Компания рекомендует проконсультироваться со специалистом по компьютерной безопасности или ИТ-инженером, чтобы оценить риск для вашей конкретной конфигурации.
Затронутые версии GeForce Experience
Проблема безопасности наблюдается во всех системах Windows с запущенными версиями NVIDIA GeForce Experience до 3.20.2.
NVIDIA предупреждает, что «ранние ветки релизов также подвержены уязвимости. Пользователям рекомендуется обновиться до новейшей релизной ветки».
Скачать NVIDIA GeForce Experience
Чтобы установить обновление безопасности, нужно загрузить новейшую версию GeForce Experience на нашем сайте или на официальном сайте NVIDIA. Также можно запустить клиентское приложение GFE, которое автоматически установит патч через встроенную службу обновлений.
В мае и ноябре этого года NVIDIA уже выпускала патчи, исправляющие уязвимости высокого уровня опасности в GeForce Experience. Проблемы безопасности позволяли локальным злоумышленникам повышать уровень привилегий, выполнять произвольный код или вызывать состояние отказа в обслуживании на уязвимых машинах Windows.
Обновления программ, что нового
• Google Chrome начал использовать Gemini Nano для защиты от онлайн-мошенничества
• Обновление Intel ARC Game On Driver 32.0.101.6793 Non-WHQL. Поддержка DOOM: The Dark Ages и Japanese Drift Master
• Релиз HarmonyOS PC: Huawei бросает вызов Windows и macOS
• Intel: новое обновление микрокода 0x12F для процессоров 13-го и 14-го поколения не влияет на производительность
• Samsung Galaxy S22 начал получать One UI 7 в Европе: обновлённый интерфейс и Android 15 уже доступны
• Обновление Raspberry Pi OS: Новый экран блокировки, улучшенное приложение печати и другие улучшения