Schwachstelle in Nvidia GeForce Experience-Anwendung gefixt

[English]Hersteller Nvidia musste kürzlich ein Sicherheitsupdate für einen Anwendung für sein GeForce Experience-Treiberpaket freigegeben. Mit einem Update wurde eine als kritisch eingestufte Sicherheitslücke gefixt.


Anzeige

NVIDIA GFE (GEFORCE EXPERIENCE) ist ein Zusatzprogramm für GeForce GTX-Grafikkarten, das laut NVIDIA folgende Funktionen bietet:

:Videos, Screenshots und Livestreams aufnehmen und mit Freunden teilen Treiber immer auf dem neuesten Stand halten und Spieleeinstellungen optimieren. Mit GeForce Experience (TM) ist all dies möglich. Daher ist dies der ideale Begleiter für deine GeForce-Grafikkarte.

Mit anderen Worte eigentlich ein Programm, was man zum Betrieb der Grafikkarte nicht braucht. NVIDIA musste vor einigen Tagen ein Sicherheitsupdate für die Windows NVIDIA GeForce Experience (GFE)-Anwendung veröffentlichen, um kritische Schwachstellen zu beheben. Die Sicherheitslücken können Angreifern ermöglichen, beliebigen Code auszuführen, Rechte zu erhöhen, Zugriff auf vertrauliche Informationen zu erlangen oder einen Denial-of-Service (DoS)-Zustand auf Systemen auszulösen.

Zur Ausnutzung der Schwachstellen (z.B. CVE‑2020‑5977) muss der Angreifer aber einen lokalen Benutzerzugriff haben, eine Remote-Ausnutzung ist nicht möglich. Allerdings könnte Malware diese Schwachstellen auf einfache Weise auf einem System mit Nvidia GeForce Experience ausnutzen.

  • CVE‑2020‑5977: NVIDIA GeForce Experience contains a vulnerability in NVIDIA Web Helper NodeJS Web Server in which an uncontrolled search path is used to load a node module, which may lead to code execution, denial of service, escalation of privileges, and information disclosure. Base-Score: 8.2
  • CVE‑2020‑5990: NVIDIA GeForce Experience contains a vulnerability in the ShadowPlay component which may lead to local privilege escalation, code execution, denial of service, or information disclosure. Base-Score: 7.3
  • CVE‑2020‑5978: NVIDIA GeForce Experience contains a vulnerability in its services in which a folder is created by nvcontainer.exe under normal user login with LOCAL_SYSTEM privileges which may lead to a denial of service or escalation of privileges. Base-Score: 3.2

Die Sicherheitslücken betreffen nur Computer mit Windows- und NVIDIA GeForce Experience-Versionen vor 3.20.5.70. Um das Sicherheitsupdate anzuwenden, ist die neueste Version (d.h. 3.20.5.70) von der GeForce Experience-Download-Seite herunterzuladen und zu installieren. Oder man startet den GFE-Client, um die Software automatisch über den eingebauten Update-Mechanismus aktualisieren zu lassen. (via)


Anzeige


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Schwachstelle in Nvidia GeForce Experience-Anwendung gefixt

  1. Dat Bundesferkel sagt:

    GFE fand ich damals(tm) gar nicht mal so verkehrt, bevor sie den Registrierungszwang einführten und auf Node.js gesetzt haben.
    Als Spieler bequem einen "Klick" tätigen, um eine für die verbaute Grafikkarte und gespielte Spiel akzeptable Bildrate zu erzielen.
    Nebenbei ganz bequem die Spiele streamen (nicht nur zur Monetarisierung auf YT, sondern an andere Endgeräte wie großem Fernseher).

    Aber leider, leider… kam man ja von oben genannten Punkten nicht ab. Seither wird es auch nicht mehr genutzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.