NVIDIA GeForce Experience per Windows è stato trovato per contenere una vulnerabilità di sicurezza, CVE-2019-5674, che potrebbe consentire attaccanti locali di elevare i privilegi, l'esecuzione di codice di attivazione, ed eseguire attacchi di tipo denial-of-service.
Anche se la vulnerabilità richiede l'accesso utente locale, potrebbe ancora essere sfruttata in remoto con l'ausilio di strumenti dannosi precedentemente piantati su un sistema che esegue il vulnerabili NVIDIA GeForce Experience.
Di più su CVE-2019-5674
Secondo la descrizione ufficiale, l'aggiornamento che risolve la vulnerabilità risolve un problema che potrebbe provocare l'esecuzione di codice, negazione del servizio, o escalation dei privilegi. Il difetto ha un rating elevato e di un secerity 8.8 punteggio di base.
"La valutazione dei rischi di NVIDIA è basata su una media di rischio attraverso un insieme diversificato di sistemi installati e non può rappresentare il vero rischio della vostra installazione locale. NVIDIA consiglia di consultare un professionista IT di sicurezza o di valutare il rischio per la vostra configurazione specifica", l'advisory dice.
Il bug è stato segnalato da Rhino Security Labs ricercatore David Yesland.
Va notato che tutte le versioni GeForce esperienza prima versione 3.18 sono colpiti. Più specificamente, sistemi Windows che eseguono una di queste versioni con abilitato ShadowPlay, NvContainer, o GameStream sono in pericolo di attacchi.
Se si dispone di una delle versioni vulnerabili di NVIDIA GeForce Experience, è necessario scaricare la versione più recente al più presto possibile. Per farlo, vai a GeForce pagina di esperienza di download, dove è possibile scaricare direttamente la versione corretta.
Nel mese di febbraio, otto i problemi di sicurezza sono stati scoperti (e patch) nella GPU software del driver NVIDIA, con una delle vulnerabilità che interessano sia i sistemi Linux e Windows. Le vulnerabilità possono anche provocare l'esecuzione di codice, escalation di privilegi, attacchi denial of service, e divulgazione di informazioni.
Nel somiglianza con l'attuale vulnerabilità, nonostante le vulnerabilità che richiedono l'accesso locale, gli hacker potrebbero ancora sfruttarle con l'aiuto di software dannoso installato su un sistema che esegue il conducente vulnerabili. Le vulnerabilità in questione sono CVE 2019 5665, CVE 2019 5666, CVE 2019 5667, CVE 2019 5668, CVE 2019 5669, CVE 2019 5670, CVE 2019 5671, CVE 2018 6260.