Η NVIDIA κυκλοφόρησε μια ενημέρωση ασφαλείας για την εφαρμογή Windows NVIDIA GeForce Experience (GFE) για την αντιμετώπιση ευπαθειών που θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα, να κλιμακώσουν προνόμια, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες ή να προκαλέσουν κατάσταση άρνησης υπηρεσίας (DoS) σε συστήματα.
Το NVIDIA GFE είναι ένα βοηθητικό βοηθητικό πρόγραμμα για κάρτες γραφικών GeForce GTX που “ενημερώνει τα drivers, βελτιστοποιεί αυτόματα τις ρυθμίσεις των παιχνιδιών σας και σας δίνει τον ευκολότερο τρόπο να μοιραστείτε τις μεγαλύτερες στιγμές παιχνιδιού σας με τους φίλους σας” σύμφωνα με το NVIDIA,
Ενώ αυτά τα ελαττώματα απαιτούν από τους εισβολείς να έχουν πρόσβαση τοπικού χρήστη και δεν μπορούν να αξιοποιηθούν εξ’ αποστάσεως, μπορούν να χρησιμοποιηθούν με κακόβουλα εργαλεία που αναπτύσσονται σε συστήματα που εκτελούν ευπαθείς εκδόσεις της εφαρμογής NVIDIA GFE.
Επιπλέον, οι επιθέσεις που θα εκμεταλλευτούν αυτά τα σφάλματα έχουν χαμηλή πολυπλοκότητα σύμφωνα με την NVIDIA, ενώ απαιτούν επίσης χαμηλά προνόμια και δεν χρειάζονται αλληλεπίδραση με τους χρήστες.
| CVE IDs | Description | Base Score |
|---|---|---|
| CVE‑2020‑5977 | NVIDIA GeForce Experience contains a vulnerability in NVIDIA Web Helper NodeJS Web Server in which an uncontrolled search path is used to load a node module, which may lead to code execution, denial of service, escalation of privileges, and information disclosure. | 8.2 |
| CVE‑2020‑5990 | NVIDIA GeForce Experience contains a vulnerability in the ShadowPlay component which may lead to local privilege escalation, code execution, denial of service, or information disclosure. | 7.3 |
| CVE‑2020‑5978 | NVIDIA GeForce Experience contains a vulnerability in its services in which a folder is created by nvcontainer.exe under normal user login with LOCAL_SYSTEM privileges which may lead to a denial of service or escalation of privileges. |
3.2 |
