Довольно неожиданная на фоне распространенности приложения уязвимость была обнаружена (и, разумеется, быстро исправлена) компанией NVIDIA.
Серьезная ошибка нашлась в программе GeForce Experience, предназначенной для оперативного обновления драйверов видеокарт, оптимизации настроек и стриминга игрового процесса. Уязвимость позволяет злоумышленнику расширить свои привилегии на Windows или вызвать сбой в работе компьютера.
NVIDIA сообщает, что проблема возникает при включенной функции GameStream, обеспечивающей трансляцию игры на TV-приставки, планшеты и ПК.
Если у хакера есть локальный доступ к компьютеру, то он может повредить один из системных файлов и вызвать состояние отказа в обслуживании. Также у злоумышленника есть вариант заполучить разрешения, выходящие за пределы его набора прав.
Эксплуатация дыры в коде не требует взаимодействия с пользователем системы, а также наличия специальных знаний или навыков. Более того, использование дополнительного вредоносного ПО позволяет провести атаку удаленно.
Недостаток присутствует во всех прежних версиях GeForce Experience; патч включен в релиз 3.20.2.
В ноябре этого года NVIDIA уже патчила баги в GeForce Experience. Один из недостатков, так же как и данная уязвимость, был связан со службой GameStream. Ошибка, получившая 7,8 балла по шкале CVSS, допускала эскалацию привилегий через запуск стороннего кода. Результатом атаки могла стать утечка конфиденциальной информации, а также отказ системы. Проблема возникла из-за возможности загрузки сторонней DLL, не подписанной легитимным разработчиком.
Читайте также на АКБ:
