NVIDIA vá các lỗ hổng có mức độ nghiêm trọng cao trong GeForce Experience

whf

whf

Super Moderator
Thành viên BQT
06/07/2013
796
1.304 bài viết
NVIDIA vá các lỗ hổng có mức độ nghiêm trọng cao trong GeForce Experience
whf
upload_2020-10-24_8-47-24.png

NVIDIA vừa phát hành một bản cập nhật bảo mật cho ứng dụng Windows NVIDIA GeForce Experience (GFE) để giải quyết các lỗ hổng có thể cho phép kẻ tấn công thực thi mã tùy ý, leo thang đặc quyền để truy cập thông tin nhạy cảm hoặc kích hoạt trạng thái từ chối dịch vụ (DoS) trên các hệ thống chạy phần mềm chưa được vá.

NVIDIA GFE là tiện ích đi cùng card đồ họa GeForce GTX "giúp cập nhật trình điều khiển, tự động tối ưu hóa các thiết lập game và mang đến cách dễ dàng nhất để chia sẻ những khoảnh khắc chơi game tuyệt vời với bạn bè", theo NVIDIA.

Mặc dù những lỗ hổng này yêu cầu kẻ tấn công phải có quyền truy cập của người dùng cục bộ và không thể khai thác từ xa, chúng vẫn có thể bị lạm dụng bằng cách sử dụng các công cụ độc hại được triển khai trên hệ thống chạy phiên bản NVIDIA GFE tồn tại lỗ hổng.

Ngoài ra, theo NVIDIA cách tấn công khai thác những lỗ hổng này có độ phức tạp thấp, yêu cầu đặc quyền thấp và không cần sự tương tác của người dùng.

Lỗ hổng uncontrolled search path dẫn đến thực thi mã

CVE‑2020‑5977, được Xavier DANEST báo cáo, có mức độ nghiêm trọng cao nhất trong số những lỗ hổng được NVIDIA vá ngày hôm nay, có thể dẫn đến leo thang đặc quyền và thực thi mã sau khi khai thác thành công.

Nó cũng cho phép kích hoạt trạng thái từ chối dịch vụ để các máy tính Windows chạy NVIDIA GFE chưa được vá không sử dụng được.

Một lỗi nghiêm trọng khác (CVE‑2020‑5990) tồn tại trong thành phần ShadowPlay. Lỗi này được báo cáo bởi Hashim Jawad của ACTIVELabs.

Dưới đây là chi tiết ba lỗ hổng được cùng với mô tả đầy đủ và điểm cơ bản CVSS V3 do NVIDIA chỉ định:

_FiqQBEpIjN730jvKIF5pckOGEtEFYpPzsZncNWh7ZQeFIjSeFz641S5DTQ__SgJQKJH-XmkUtjRCmQbsgDyf-F9F5G8JWUM6-M_BYkxVH53yYQlgfOGTgDYykhWzP68euJZj8hF

NVIDIA khuyên người dùng "nên tham khảo ý kiến của chuyên gia bảo mật hoặc CNTT để đánh giá rủi ro đối với cấu hình cụ thể của bạn".

Các phiên bản GeForce Experience bị ảnh hưởng

Các lỗ hổng chỉ ảnh hưởng đến những máy tính chạy Windows và phiên bản NVIDIA GeForce Experience trước 3.20.5.70.

Để áp dụng bản cập nhật bảo mật, bạn tải xuống phiên bản phần mềm mới nhất (tức là 3.20.5.70) từ trang GeForce Experience Downloads hoặc chạy ứng dụng GFE client để tự động cập nhật.

Vào tháng 7, NVIDIA cũng đã vá một lỗ hổng bảo mật khác trong tất cả các phiên bản GeForce Experience trước 3.20.4 có thể dẫn đến thực thi mã, từ chối dịch vụ hoặc leo thang đặc quyền.

Tháng trước, NVIDIA cũng đã giải quyết nhiều vấn đề bảo mật nghiêm trọng cao trong trình điều khiển card màn hình cho Windows và phần mềm Virtual GPU Manager.
Theo BleepingComputer
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • NVIDIA giải quyết các lỗi nghiêm trọng trong DGX A100/H100
  • Nvidia vá lỗi thực thi mã trong trình điều khiển đồ họa
  • Các sản phẩm của NVIDIA, HPE bị ảnh hưởng bởi lỗ hổng Log4j
  • NVIDIA vá lỗ hổng chipset Jetson cho phép tấn công DoS, đánh cắp dữ liệu
  • Nvidia cảnh báo lỗi nghiêm trọng trong trình điều khiển GPU và phần mềm vGPU
  • NVIDIA vá nhiều lỗi nghiêm trọng ảnh hưởng đến các thiết bị Windows, Linux
    • Bên trên