Nvidia, som tillverkar spelvänliga grafikprocessorer (GPU:er), har utfärdat korrigeringar för två allvarliga brister i Windows-versionen av programvaran GeForce Experience.
GeForce Experience är ett tilläggsprogram till GeForce GTX-grafikkortet – det håller användarnas drivrutiner uppdaterade, optimerar automatiskt spelinställningarna med mera. GeForce Experience installeras som standard på system som kör NVIDIA GeForce-produkter, Nvidias märke för grafikkretsar.
Den allvarligaste av de två bristerna (CVE-2020-5977) kan leda till en mängd skadliga attacker på drabbade system – inklusive körning av kod, överbelastning av tjänsten, utökning av privilegier och utlämnande av information. Den rankas 8,2 av 10 på CVSS-skalan, vilket gör den mycket allvarlig.
I ett säkerhetsmeddelande från torsdagen sade grafikjätten att användarna kan ”ladda ner uppdateringarna från sidan GeForce Experience Downloads eller öppna klienten för att automatiskt tillämpa säkerhetsuppdateringen”.
Felarna härrör specifikt från Nvidia Web Helper NodeJS Web Server. När användare installerar GeForce Experience körs Node.js vid start och tillhandahåller en webbserveranslutning med Nvidia. Problemet här är att en okontrollerad sökväg används för att ladda en Node-modul, vilket inträffar när ett program använder fasta sökvägar för att hitta resurser – men en eller flera platser i sökvägen är under kontroll av en illvillig användare. Angripare kan utnyttja taktiker som DLL-förladdning, binär plantering och osäker biblioteksladdning för att utnyttja den här sårbarheten.
Och även om ytterligare detaljer om den här specifika bristen inte finns tillgängliga från Nvidia, sa företaget att angripare kan utnyttja bristen för att exekvera kod, starta en DoS-attack, öka sina privilegier eller visa känsliga data. Xavier DANEST från Decathlon har upptäckt felet.
Nvidia utfärdade på torsdagen också patchar för ett annat allvarligt fel i ShadowPlay-komponenten i GeForce Experience (CVE-2020-5990), som kan leda till lokal privilegieeskalering, körning av kod, DoS eller avslöjande av information. Hashim Jawad från ACTIVELabs har upptäckt felet.
Versioner av Nvidia GeForce Experience för Windows före 3.20.5.70 påverkas. Användare uppmanas att uppdatera till version 3.20.5.70.
Nvidia har tidigare varnat för säkerhetsproblem som påverkar dess GeForce-märke, inklusive ett problem som påverkar GeForce Experience 2019 och som kan leda till körning av kod eller överbelastning av produkter om det utnyttjas.
I juni rättade Nvidia två höggradiga brister som påverkade drivrutiner för Windows- och Linux-användare, inklusive de som använder Nvidias GeForce-, Quadro- och Tesla-programvara. I mars utfärdade Nvidia patchar för allvarliga fel i sin grafikdrivrutin, som kan utnyttjas av en lokal angripare för att starta DoS- eller kodkörningsattacker, och som även påverkade bildskärmsdrivrutiner som används i GeForce- (samt Quadro- och Tesla-märkta) GPU:er för Windows.