Компания NVIDIA исправила серьезную ошибку в программе GeForce Experience, предназначенной для оперативного обновления драйверов видеокарт, оптимизации настроек и стриминга игрового процесса. Уязвимость позволяет злоумышленнику расширить свои привилегии на Windows или вызвать сбой в работе компьютера.

Как следует из бюллетеня вендора, проблема возникает при включенной функции GameStream, обеспечивающей трансляцию игры на TV-приставки, планшеты и ПК. В этом случае злоумышленник с локальным доступом к компьютеру может повредить один из системных файлов и вызвать состояние отказа в обслуживании или получить разрешения, выходящие за пределы его набора прав.

Баг в GeForce Experience можно эксплуатировать без участия пользователя

Уязвимость зарегистрирована как CVE-2019-5702 и оценивается вендором в 8,4 балла по шкале CVSS. Столь высокий рейтинг связан с тем, что эксплуатация не требует взаимодействия с пользователем системы, а также наличия специальных знаний или навыков. ИБ-специалисты отмечают, что использование дополнительного вредоносного ПО позволяет провести атаку удаленно.

Недостаток присутствует во всех прежних версиях GeForce Experience; патч включен в релиз 3.20.2, который можно скачать со страницы загрузок geforce.com или получить автоматически при открытии клиента. Представители NVIDIA рекомендуют всем пользователям программы обновитьее до безопасной сборки. Вендор поблагодарил японского исследователя RyotaK, который обнаружил уязвимость и сообщил о ней производителю.

В ноябре этого года NVIDIA уже патчила баги в GeForce Experience. Один из недостатков, так же как и CVE-2019-5702, был связан со службой GameStream. Ошибка, получившая 7,8 балла по шкале CVSS, допускала эскалацию привилегий через запуск стороннего кода. Результатом атаки могла стать утечка конфиденциальной информации, а также отказ системы. Проблема возникла из-за возможности загрузки сторонней DLL, не подписанной легитимным разработчиком.

Категории: Уязвимости