Nvidia załatała 12 luk bezpieczeństwa w GeForce Experience i sterowniku
Firma Nvidia opublikowała poprawkę do oprogramowania, która eliminuje łącznie 12 odnalezionych w nim luk. Niektóre należy rozpatrywać w kategorii poważnych.
Trzy pierwsze luki dotyczą aplikacji GeForce Experience. Pierwsza, oznaczona jako CVE-2019-5701, została odkryta przez Hashima Jawada z ACTIVELabs i dotyczy usługi GameStream. Chodzi o brak kontroli ścieżki ewentualnego sterownika grafiki Intel, wskutek czego napastnik może wykonać dowolny kod z uprawnieniami administratora.
Druga podatność to CVE-2019-5689, wykryta i opisana przez Siyuan Yi z Chengdu University of Technology. Znajduje się w programie do pobierania aktualizacji. Osoba z lokalnym dostępem może wykorzystać tę lukę tak, aby przesłać i wykonać malware.
Trzecią lukę, oznaczoną jako CVE-2019-5695, odkrył Peleg Hadar z SafeBreach Labs w komponencie dostawcy usług GeForce. Również pozwala na wstrzyknięcie do pamięci złośliwego kodu, aczkolwiek jest o tyle mniej groźna, że uprawnienia administratora napastnik musi uprzednio zdobyć w inny sposób.
Sterownik oberwał jeszcze bardziej
Przechodząc do sterownika obrazu, najbardziej niebezpiecznym spośród błędów jest CVE-2019-5690. Dotyczy obsługi warstwy trybu kernel, a konkretniej braku kontroli rozmiaru danych wejściowych, co oczywiście może prowadzić do ataku metodą odmowy usługi czy eskalacji uprawnień. Ponadto, w podobny sposób wykorzystać można CVE-2019-5691, choć wynika z błędów wskaźnika null.
W module obsługi warstwy trybu kernel znajdują się także CVE-2019-5692 oraz CVE-2019-5693. Wynikają z, odpowiednio, niezaufanych danych wejściowych podczas obliczania indeksów tablicy i sposobu, w jaki sterownik korzysta ze wskaźników.
Ostatnie, jeśli chodzi o sam sterownik, są CVE-2019-5694 i CVE-2019-5695, prowadzące do błędów podczas ładowania bibliotek DLL, które można wykorzystać do ujawnienia wrażliwych danych. Oprócz tego zieloni przyznali się do trzech bliżej nieokreślonych luk w programie Virtual GPU Manager (vGPU), stosowanym do wirtualizacji w środowiskach serwerowych.
Wszystkie opisane błędy znajdują się w GeForce Experience wcześniejszych niż wydanie 3.20.1, a także sterownikach wcześniejszych niż 441.12. Warto więc zaktualizować oprogramowanie do najnowszej wersji. Niezbędne pliki znajdziecie w naszej bazie aplikacji.