最严重的错误为代码执行和信息泄漏铺平了道路
Nvidia已在GeForce Experience图形软件和GPU Display Driver中修复了一系列严重的安全漏洞。
在星期四,技术巨公布两个单独的安全公告(1,2)详细介绍了漏洞,其中最严重的会导致执行代码或信息泄露。
GeForce Experience中已解决了三个漏洞。第一个CVE‑2019‑5701是GameStream中的问题。启用后,具有本地访问权限的攻击者可以在没有路径验证的情况下加载Intel图形驱动程序DLL,从而可能导致任意代码执行,特权提升,拒绝服务(DoS)或信息泄露。
第二个错误CVE‑2019‑5689,存在于GeForce下载器中。有了本地访问权限,攻击者就可以设计和执行代码以传输和保存恶意文件,还可能导致代码执行,DoS或信息泄漏。
在GeForce本地服务提供商组件中发现了第三个安全漏洞CVE‑2019‑5695。攻击者需要具有本地和特权访问权才能利用此漏洞,但是如果实现,则可能使用不正确的Window系统DLL加载来引起DoS或数据盗窃。
CNET: 激光似乎可以入侵Alexa,Google Home和Siri
Nvidia Windows GPU Display驱动程序中的六个漏洞也已解决。这些问题中最关键的是CVE‑2019‑5690,是内核模式层处理程序问题,其中输入大小未经验证,导致DoS或特权升级。
此外,在同一系统中发现了CVE‑2019‑5691,在该系统中,可以出于相同目的利用空指针错误。
CVE‑2019‑5692和CVE‑2019‑5693的两个其他错误也已在内核模式层处理程序中解决。第一个与计算或使用数组索引时的不可信输入有关,这导致特权提升或服务拒绝,而第二个安全缺陷与程序如何访问或使用指针有关。如果被利用,此问题可能导致服务被拒绝。
显示驱动程序还包含CVE‑2019‑5694和CVE‑2019‑5695,这是不正确的DLL加载问题,可用于DoS或信息泄露。
Nvidia还解决了Virtual GPU Manager中的三个漏洞。CVE‑2019‑5696是一个安全漏洞,可能导致来宾VM进行越界访问,而CVE‑2019‑5697可以用来使来宾访问其不拥有的内存,从而导致DoS或信息泄漏。
最终错误CVE‑2019‑5698位于vGPU插件中,与输入索引值的不正确验证有关。如果被利用,此安全漏洞也可能导致拒绝服务。