NVIDIA 23 aralık günnü potansiyel yerel saldırganların hizmet reddi (DoS) durumunu tetiklemesine veya yazılım çalıştıran sistemlerde ayrıcalıklarını yükseltmesine olanak verebilecek bir güvenlik açığını düzeltmek için Windows NVIDIA GeForce Deneyimi (GFE) uygulamasına bir güvenlik güncelleştirmesi yayımladı.
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
NVIDIA GFE, “sürücülerinizi güncel tutan, oyun ayarlarınızı otomatik olarak optimize eden ve size en büyük oyun anlarınızı arkadaşlarınızla paylaşmanın en kolay yolunu sunan” GeForce GTX grafik kartları için eşlik eden bir yazılımdır.
Bu güvenlik açığı saldırganların yerel kullanıcı erişimine sahip olmasını sağlıyor ve uzaktan istismar edilemiyor ama savunmasız NVIDIA GFE sürümleri çalıştıran sistemlerde uzaktan bırakılan kötü amaçlı araçlar yoluyla da kötüye kullanılabilir.
Ayrıca, bu güvenlik açığından yararlanmak için tasarlanmış saldırılar NVIDIA’ya göre düşük karmaşıklığa sahiptir, düşük ayrıcalıklar gerektirir ve kullanıcı etkileşimi gerektirmez.
Saldırganlar, CVE-2019-5702 olarak isimlendirilen zafiyeti kullanarak ayrıcalıklarını arttırabilir ve böylece sistem tarafından başlangıçta verilenlerin ötesinde izinler alabilirler. Başarılı bir şekilde yararlanılması halinde hizmet reddi(DoS) durumunu tetikleyerek toplu olmayan yazılım çalıştıran Windows makinelerini kullanılamaz hale getirmelerini de sağlayabilir.
Aralık 2019 güvenlik güncelleştirmesinde giderilen CVE-2019-5702 güvenlik açığı, NVIDIA tarafından atanan tam bir açıklama ve CVSS V3 temel puanı ile birlikte ayrıntılı olarak verilmektedir.
Açıklama NVIDIA GeForce Experience, yerel sistem erişimi olan bir saldırganın sistem dosyasını bozabileceği ve hizmet reddine veya ayrıcalıkların yükselmesine neden olabilecek GameStream etkinleştirildiğinde bir güvenlik açığı olabileceği şeklinde.
Güvenlik açığı, 3.20.2 sürümünden önceki NVIDIA GeForce Experience sürümlerini çalıştıran Windows bilgisayarlarını etkilemekte. Güvenlik güncelleştirmesini uygulamak için en son sürümü bugün yayınlanan GeForce Experience sayfasından indirmeleri veya dahili güncelleme mekanizması aracılığıyla otomatik olarak uygulayacak GFE istemcisini başlatmaları yeterlidir.