رفع آسیب‌پذیری نرم افزار GeForce Experience با سطح مخاطره‌ی بالا

Nvidia vulnerability

انویدیا (Nvidia) از گیمرها درخواست کرد تا نرم افزار GeForce Experience  را برای رفع دو مخاطره جدی به روزرسانی کنند.

انویدیا که تولید کننده‌‌ی واحدهای پردازش گرافیکی (GPUs) مناسب برای گیم است، در نرم افزار GeForce Experience، با دو نقص امنیتی جدی مواجه شد. سیستم‌هایی که دارای این آسیب‌پذیری هستند، تحت حمله منع دسترسی (DoS)، افشای اطلاعات و افزایش سطح دسترسی قرار می‌گیرند.

GeForce Experience نرم افزاری برای کاربران است که با استفاده از کارت گرافیکی GTX Nvidia، می‌توانند درایور ها و تنظیمات بازی و …  را به صورت خودکار بروزرسانی و تنظیم کنند . برای تمام نسخه‌های پلتفرم ویندوز با ورژن کمتر از 3.19 دو آسیب‌پذیری با شناسه‌های CVE-2019-5678 و CVE-2019-5676  گزارش شده است.

انویدیا اعلام کرد: این بروزرسانی جهت رفع مخاطراتی نظیر حمله منع دسترسی (DOS)، افشای اطلاعات و افزایش سطح دسترسی می باشد و همچنین اضافه کرد کاربران برای محافظت از سیستم خود، بروز رسانی نرم افزار را از طریق صفحه دانلود GeForce Experience شرکت، دانلود و نصب کنند.

اولین آسیب پذیری با شناسهCVE-2019-5678، در قسمت Web Helper  صفحه اصلی تنظیمات GeForce Experience گزارش شده که شدت مخاطره 7.8 از 10 در مقیاس CVSS را دارد و آن را در دسته بندی مخاطرات سطح بالا قرار می دهد. در این بخش داده های ورودی می تواند توسط هکر ها به صورت نادرست وارد شود. به این صورت که بادسترسی هکر به سیستم کاربر، امکان ورود داده های نادرست و حتی سوق دادن کد های اجرایی جهت حمله منع دسترسی یا افشای اطلاعات وجود دارد.

دومین نقص با شناسه CVE-2019-5676، در نرم افزار نصب  GeForce Experience گزارش شده که باعث افزایش سطح دسترسی از طریق اجرای کد می‌شود. به نقل از انویدیا: “نرم افزار نصب NVIDIA GeForce Experience شامل یک آسیب‌پذیری است که در آن به اشتباه DLL های سیستم ویندوز را بدون تایید مسیر یا امضا (همچنین به عنوان binary planting  یا حمله DLL preloading شناخته می شود) بارگیری می کند”. این نقص شدت مخاطره 7.2 از 10 در مقیاس CVSS را دارد و در دسته مخاطرات سطح بالا قرار می گیرد.
GeForce Experience در ماه مارس با مخاطرات جدی مواجه شد که در صورت سوءاستفاده ممکن است منجر به اجرای کد یا منع دسترسی شود. همچنین در اوایل ماه مارس، گوگل وصله هایی جهت رفع باگ های اجزای واحد های پردازش گرافیکی اینویدیا برای اندروید صادر کرد. دو باگ افشای اطلاعاتی که در دسته بندی آسیب پذیری های جدی رتبه بندی شده اند نیز توسط انویدیا رفع شده است.

Nvidia Fixes High-Severity Flaws in GeForce Experience for Gamers