GeForce Experience ソフトウェアの Windows バージョンで、2 つの深刻な欠陥の修正プログラムを発行しました。 GeForce Experience は、Nvidia の GPU ブランドである NVIDIA GeForce 製品を実行するシステムにデフォルトでインストールされます。
2つの最も深刻な欠陥 (CVE-2020-5977) は、コード実行、サービス拒否、権限の昇格、情報公開など、影響を受けるシステムに対する多数の悪意のある攻撃を引き起こすことがあります。 1075>
木曜日のセキュリティ アドバイザリでは、ユーザーは「GeForce Experience ダウンロード ページから更新をダウンロードするか、クライアントを開いてセキュリティ更新を自動的に適用する」ことができると述べています。 ユーザーが GeForce Experience をインストールすると、Node.js が起動時に実行され、Nvidia との Web サーバー接続が提供されます。 この問題は、制御されていない検索パスがノードモジュールのロードに使用されていることです。これは、アプリケーションがリソースを見つけるために固定検索パスを使用する場合に発生しますが、パスの1つまたは複数の場所が悪意のあるユーザーの制御下にある場合です。 攻撃者は、この脆弱性を悪用するために、DLL プリロード、バイナリ植え付け、安全でないライブラリのロードなどの戦術を利用できます。
Nvidia は、この特定の欠陥に関するさらなる詳細を提供していませんが、攻撃者がこの欠陥を利用して、コードの実行、DoS 攻撃、権限の昇格、機密データの閲覧ができると発表しています。 1075>
Nvidia は、木曜日に、GeForce Experience の ShadowPlay コンポーネントにおける別の重大な欠陥 (CVE-2020-5990) のパッチも発行しました。 1075>
Nvidia GeForce Experience for Windows の 3.20.5.70 より前のバージョンが影響を受けるため、ユーザーはバージョン 3.20.5.70 に更新するよう促されます。
Nvidiaは以前、2019年にGeForce Experienceに影響する問題があり、悪用されると製品のコード実行やサービス拒否につながる可能性があるなど、同社のGeForceブランドに影響するセキュリティ問題を警告しています。
6月に、NvidiaのGeForce、Quadro、Teslaソフトウェアを使用するものなどのWindowsおよびLinuxユーザー向けのドライバーに影響を与える2つの高重度の不具合について修正されました。 また、3月には、Nvidiaは、ローカル攻撃者が悪用してDoS攻撃やコード実行攻撃を仕掛けることができるグラフィックスドライバの高重度のバグに対するパッチを発行し、Windows用のGeForce(およびQuadro、Teslaブランド)GPUで使用されるディスプレイドライバにも影響を与えました
。