Falhas de execução de código de patches NVIDIA na experiência geforce

Views: 101
0 0
Read Time:1 Minute, 35 Second

Patches lançados pela NVIDIA na semana passada para o software GeForce Experience abordam dois bugs de execução de código arbitrário avaliados com uma classificação de gravidade de alta.

O software GeForce Experience é um aplicativo companheiro que está sendo instalado ao lado dos drivers GeForce da NVIDIA. Funcionando como uma ferramenta de gerenciamento de GPU, permite que os usuários gravem e compartilhem vídeos e capturas de tela, atualizem os drivers e garantam que as configurações do jogo sejam sempre otimizadas.

Rastreado como CVE-2020-5977 e com uma pontuação CVSS de 8.2, o primeiro dos problemas recém-abordados foi identificado no Web Server do NVIDIA Web Helper NodeJS e existe porque um caminho de pesquisa não controlado é usado para carregar um módulo de nó.

Um invasor capaz de explorar a falha poderia executar código no contexto do software vulnerável, poderia causar negação de serviço, escalar privilégios ou acessar informações restritas, observa a NVIDIA em um comunicado.

A segunda vulnerabilidade tem o identificador CVE-2020-5990 e uma pontuação CVSS de 7,3. De acordo com a NVIDIA, a falha foi identificada no componente ShadowPlay e pode levar à execução de código, escalada de privilégios locais, negação de serviço ou divulgação de informações.

Uma terceira vulnerabilidade corrigida com a nova versão é cve-2020-5978 (pontuação CVSS de 3.2), identificada nos serviços GeForce Experience. O bug existe porque “uma pasta é criada pelo nvcontainer.exe sob o login normal do usuário com privilégios LOCAL_SYSTEM”, explica a NVIDIA.

A falha poderia ser explorada para alcançar a negação de serviço ou para escalar privilégios.

Todas as três vulnerabilidades, explica a NVIDIA, impactam as versões do GeForce Experience antes do 3.20.5.70. Para manter seus sistemas protegidos, os usuários são aconselhados a atualizar para a versão 3.20.5.70 ou mais recente do software.

FONTE: SECURITY WEEK

Previous post Zero Trust Network Access (ZTNA): A cura para a VPN comum
Next post Ensine bem aos seus funcionários: como detectar golpes de smishing e vishing

Deixe um comentário