NVIDIA GeForce Experience多个漏洞安全通告

发布时间 2019-06-01

漏洞编号和级别


CVE编号:CVE-2019-5678,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定

CVE编号:CVE-2019-5676,危险级别:高危,CVSS分值:厂商自评:7.2,官方未评定


受影响的版本


GeForce Experience 3.19之前所有版本


漏洞概述

NVIDIA GeForce Experience是美国英伟达(NVIDIA)企业的一套显卡自动更新工具.该产品能够自动更新显卡驱动程序,并支撑显卡性能管理和优化等。


NVIDIA GeForce Experience修复两个高危漏洞:


CVE-2019-5678


NVIDIA GeForce Experience包含Web Helper组件中的漏洞,其中具有本地系统访问权限的攻击者可以创建可能无法正确验证的输入。 这种攻击可能导致代码实行,拒绝服务或信息泄露。


CVE-2019-5676


NVIDIA GeForce Experience安装程序App包含一个漏洞,它在不验证路径或签名(也称为二进制种植或DLL预加载攻击)的情况下错误地加载Windows系统DLL,导致通过代码实行升级权限。 攻击者需要本地系统访问权限。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布新版本以修复漏洞,请用户升级至3.19版本:https://www.geforce.com/geforce-experience/download。


参考链接


https://nvidia.custhelp.com/app/answers/detail/a_id/4806#security-updates