NVIDIA发布GeForce Ecperience应用更新
NVIDIA为其GeForce Experience 应用发布了安全更新,以解决几个可以允许攻击者执行任意代码、提升权限、接触敏感讯息以及触发DoS状态的漏洞。
这3个漏洞的CVE代号分别为CVE-2020-5977、CVE-2020-5990以及CVE-2020-5978。其中,CVE-2020-5977以及CVE-2020-5990都是属于高危漏洞,危险程度得分分别为8.2以及7.3分。
CVE-2020-5977是由一个在加载NVIDIA Web Helper NodeJS Web Server节点时的不受控搜寻路径导致的,它可被用来提升权限以及执行任意漏洞,同时也容许攻击者通过触发DoS来使目标系统上的GeForce Experience 应用无法使用。而CVE-2020-5990则是一个存在于ShadowPlay组件中的漏洞,同样可以让攻击者提权、执行任意代码以及泄露讯息等。至于威胁程度较低的CVE-2020-5978则是由一个被nvcontainer.exe以用户本地权限创建的文件夹引起的,可以导致DoS以及被用作提权。
NVIDIA表示:
“风险评估是基于各种已安装的系统的平均风险而成的,可能不能真实地反映本地系统的风险。”
这次的几个漏洞影响全部3.20.5.70版之前的GeForce Experience 应用。考虑到不少玩家在安装NVIDIA驱动时都会选择默认的安装方式因此把GeForce Experience 应用也装上,以及有不少玩家都会用GeForce Experience 内的游戏优化功能来提升帧数(虽然很多时候登不上,并且优化不一定有效果),因此也是建议玩家尽快下载最新版的GeForce Experience 应用,或者让GeForce Experience 自行升级到最新版本。