مرکز آپا دانشگاه کردستان

رفع آسیب‌پذیری‌های بحرانی نرم‌افزار GeForce Experience توسط Nvidia

Nvidia از کاربران خود درخواست کرده است که نرم‌افزار GeForce Experience خود را پس از وصله شدن دو آسیب‌پذیری بحرانی موجود در آن، فوراً به‌روزرسانی کنند. شرکت Nvidia که سازنده پردازنده‌های گرافیکی می‌باشد، دو آسیب‌پذیری بحرانی را در نرم‌افزار GeForce Experience خود رفع کرده است که می‌تواند منجر به ایجاد شرایط منع سرویس، افشای اطلاعات و افزایش سطح دسترسی در سیستم‌های تحت‌تاثیر ‌شود. نرم‌افزار GeForce Experience توسط گیمرهایی استفاده می‌شود که دارای کارت گرافیک‌های سریGTX شرکت Nvidia می‌باشند و باعث می‌شود که درایور گرافیگ آن‌ها به‌روزرسانی شود و تنظیمات بازی آن‌ها به صورت خودکار تنظیم شود. همه نسخه‌های قبل از 3.19 از این نرم‌افزار GeForce Experience در ویندوز، دارای دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2019-5678 و CVE-2019-5676 می‌باشند. طبق گزارش Nvidia برای این به‌روزرسانی امنیتی، آسیب‌پذیری‌هایی که منجر به افشای اطلاعات، افزایش سطح دسترسی، ایجاد شرایط منع سرویس و یا اجرای کد می‌شدند، رفع شده است و برای محافظت از سیستم خود می‌توانید به‌روزرسانی این نرم‌افزار را از طریق صفحه دانلود GeForce Experience دانلود و سپس نصب کنید. اولین آسیب‌پذیری دارای شناسه CVE-2019-5678 است و نمره 7.8 از 10 را در مقیاس CVSS گرفته است که آن را در سطح آسیب‌پذیری‌های بحرانی قرار می‌دهد. این باگ در کامپوننت Web Helper موجود در پنل کنترل صفحه نمایش از این نرم‌افزار وجود دارد. این کامپوننت ورودی را به درستی اعتبارسنجی نمی‌کند، به این معنی که مهاجم با دسترسی محلی به سیستم می‌تواند به طور بالقوه ورودی‌های مخرب را وارد کند. ورودی مخرب می‌تواند منجر به اجرای کد، شرایط منع سرویس یا افشای اطلاعات شود. David Yesland از آزمایشگاه‌های امنیتی Rhino این نقص را کشف کرده است. آسیب‌پذیری دوم دارای شناسه CVE-2019-5676 می‌باشد و در نرم‌افزار نصب‌کننده GeForce Experience وجود دارد و باعث افزایش سطح دسترسی از طریق اجرای کد می شود. همچنین مهاجم نیاز به دسترسی محلی به سیستم دارد. نصب‌کننده نرم‌افزار GeForce Experience دارای یک آسیب‌پذیری است که DLLهای سیستمی ویندوز را بدون اعتبارسنجی مسیر یا امضا آن‌ها، اشتباهاً بارگذاری می‌کند. (به عنوان حملات binary planting یا DLL preloading هم شناخته می‌شود). این نقص دارای نمره 7.2 از 10 در مقیاس CVSS است که آن را در سطح بحرانی قرار می‌دهد. محققان مختلفی این مسئله را کشف کرده‎‌اند، از جمله: Kushal Arvind Shah از آزمایشگاه‌های FortiGuard، Łukasz ‘zaeek،Yasin Soliman، Marius Gabriel Mihai و Stefan Kanthak. GeForce Experience همچنین در ماه مارس با یک آسیب‌پذیری مواجه شد که در صورت سوءاستفاده ممکن بود منجر به اجرای کد یا شرایط منع سرویس در محصولات شود. همچنین پیشتر در ماه مارس، گوگل وصله‌هایی برای اشکالات موجود در کامپوننت‌های NVIDIA که در گوشی‌های اندروید مورد استفاده قرار گرفته بود، منتشر کرد. همچنین دو آسیب‌پذیری بحرانی افشای اطلاعات دیگر هم توسط NVIDIA وصله شد. در اوایل ماه جاری هم، NVIDIA سه آسیب‌پذیری را در درایور گرافیک صفحه نمایش ویندوز رفع کرد که منجر به افشای اطلاعات، شرایط منع سرویس و افزایش سطح دسترسی می‌شد.