Nvidia ha lanzado un parche para un conjunto de vulnerabilidades de seguridad graves que afectan a los usuarios de su software GeForce Experience y su controlador de pantalla GPU.

La compa帽铆a lanz贸 recientemente dos avisos de seguridad separados que detallan las vulnerabilidades y, si no se controla, la m谩s grave de estas vulnerabilidades podr铆a permitir la ejecuci贸n del c贸digo o la divulgaci贸n de informaci贸n.

Nvidia resolvi贸 tres vulnerabilidades en su software GeForce Experience. La primera vulnerabilidad, llamada CVE-2019-5701, descubierta por Hashim Jawad de ACTIVELabs, es un problema en GameStream que podr铆a permitir que un atacante con acceso local cargue las DLL del controlador de gr谩ficos Intel sin validar la ruta. Esto podr铆a conducir a la ejecuci贸n de c贸digo arbitrario, elevaci贸n de privilegios, denegaci贸n de servicio (DOS) o divulgaci贸n de informaci贸n.

La segunda vulnerabilidad, titulada CVE-2019-5689, fue descubierta por Siyuan Yi de la Universidad Tecnol贸gica de Chengdu y existe en el descargador GeForce. Un atacante con acceso local podr铆a aprovechar esta vulnerabilidad para crear y ejecutar c贸digo para transferir y realizar copias de seguridad de archivos maliciosos.

La tercera vulnerabilidad, CVE-2019-5695, fue descubierta por Peleg Hadar de SafeBreach Labs en el componente GeForce del proveedor de servicios local. Para aprovechar esta vulnerabilidad, un atacante necesitar铆a acceso local y acceso privilegiado. Sin embargo, si obtuvieran esta informaci贸n, ser铆a posible utilizar una carga de DLL del sistema de Windows incorrecta para provocar el robo de datos o DOS.

Ver vulnerabilidades del controlador

La 煤ltima soluci贸n de Nvidia tambi茅n resolvi贸 seis vulnerabilidades del controlador de pantalla de la GPU de Windows de Nvidia. De estos, CVE-2019-5690 fue el m谩s cr铆tico. Este es un problema del administrador de la capa del n煤cleo en el que el tama帽o de la entrada no est谩 validado, lo que puede resultar en una mayor seguridad o mayores privilegios. Adem谩s, CVE-2019-5691 se encontr贸 en el mismo sistema en el que los errores de puntero nulo pueden explotarse con el mismo resultado.

CVE-2019-5692 y CVE-2019-5693 tambi茅n est谩n en el administrador de capas del modo kernel, pero Nvidia tambi茅n ha resuelto estos problemas. La primera vulnerabilidad se refiere a entradas poco confiables al calcular o usar un 铆ndice de matriz, lo que puede resultar en la elevaci贸n de privilegios o la denegaci贸n de servicio. El segundo problema de seguridad es c贸mo el programa accede o utiliza punteros y podr铆a conducir a una denegaci贸n de servicio si se explota.

Nvidia tambi茅n corrigi贸 las vulnerabilidades CVE-2019-5694 y CVE-2019-5695 en el controlador de pantalla que resultaron en problemas de carga de DLL incorrectos que podr铆an explotarse para DoS o divulgaci贸n de informaci贸n. Finalmente, la compa帽铆a resolvi贸 tres vulnerabilidades en Virtual GPU Manager.

Las versiones de Nvidia GeForce Experience anteriores a 3.20.1 se ven afectadas por estas vulnerabilidades y los usuarios deben actualizar su software y sus controladores gr谩ficos para evitar que sean atacados. naturaleza para explotar estas vulnerabilidades.

A trav茅s de ZDNet

Share This
A %d blogueros les gusta esto: