Уязвимость в NVIDIA GFE позволяет вызвать отказ в обслуживании
Проблема затрагивает все версии NVIDIA GFE до 3.20.2.
Компания NVIDIA выпустила исправление для уязвимости в приложении NVIDIA GeForce Experience (GFE) для Windows, позволяющей локальному атакующему вызвать отказ в обслуживании или повысить свои привилегии на системе с уязвимыми ПО. NVIDIA GFE является сопутствующим приложением к видеокартам GeForce GTX, предназначенным для обновления драйверов и автоматической оптимизации игровых настроек.
«NVIDIA GeForce Experience содержит уязвимость, позволяющую злоумышленнику с привилегиями локального пользователя при включенном GameStream повредить системный файл, что может привести к отказу в обслуживании или повышению привилегий», – сообщает NVIDIA.
Для осуществления атаки у злоумышленника должен быть доступ локального пользователя и удаленно проэксплуатировать уязвимость нельзя, однако удаленный атакующий может загрузить на систему вредоносные инструменты и с их помощью проэксплуатировать уязвимость. Более того, осуществить атаку с технической стороны совсем несложно, злоумышленнику достаточно иметь низкие привилегии на системе, а участие жертвы не требуется.
Уязвимость получила идентификатор CVE-2019-5702 и оценку 8,4 балла из максимальных 10 по шкале оценивания опасности уязвимостей CVSS V3. Проблема затрагивает версии NVIDIA GFE до 3.20.2.
Источник