23 грудня компанія NVIDIA випустила оновлення безпеки для програми NVIDIA GeForce Experience (GFE) для Windows, що виправляє небезпечну уразливість CVE-2019-5702.
Уразливість дозволяє локальним зловмисникам викликати стан відмови в обслуговуванні (denial of service, DoS) або підвищувати рівень привілеїв в непропатчених системах, повідомляє COMSS.
Для проведення атаки зловмисник повинен отримати локальний доступ до системи, здійснити експлуатацію віддалено можна тільки після розміщення в системах з вразливою версією GFE спеціальних шкідливих інструментів.
NVIDIA повідомляє, що експлуатація даної уразливості має низький рівень складності. Хакеру не потрібні підвищені права доступу і не потрібно взаємодіяти з жертвою.
NVIDIA GeForce Experience – додаток-компаньйон для систем з відеокартами GeForce GTX, який дозволяє “своєчасно оновлювати драйвери, автоматично оптимізувати ігрові настройки і ділитися важливими ігровими моментами з друзями”.
Через експлуатацію уразливості з ідентифікатором CVE-2019-5702 зловмисники можуть підвищити привілеї щодо спочатку наданих системою прав.
Крім того, успішна експлуатація уразливості дозволяє викликати стан відмови в обслуговуванні на машинах Windows.
Уразливість CVE-2019-5702 була виправлена в оновленні безпеки у грудні 2019 року.
Компанія NVIDIA рекомендує проконсультуватися з фахівцем з комп’ютерної безпеки або ІТ-інженером, щоб оцінити ризик для Вашої конкретної конфігурації.
Проблема безпеки спостерігається у всіх системах Windows з запущеними версіями NVIDIA GeForce Experience до 3.20.2.NVIDIA попереджає, що “ранні гілки релізів також схильні до вразливості. Користувачам рекомендується оновитися до нової релізной гілки”.
Щоб встановити оновлення безпеки, потрібно завантажити останню версію GeForce Experience на офіційному сайті NVIDIA. Також можна запустити клієнтську програму GFE, яке автоматично встановить патч через вбудовану службу оновлень.
Нагадаємо, у травні і листопаді цього року NVIDIA вже випускала патчі, що виправляють уразливості високого рівня небезпеки в GeForce Experience. Проблеми безпеки дозволяли локальним зловмисникам підвищувати рівень привілеїв, виконувати довільний код або викликати стан відмови в обслуговуванні на вразливих машинах Windows.
До речі, Microsoft припиняє підтримку Windows 7 14 січня 2020 року (у перший Patch day січня 2020 року). Після цієї дати компанія більше не буде випускати оновлення для домашніх користувачів. Організації мають можливість продовжити підтримку до трьох років, сплачуючи Microsoft за пристрій (малий бізнес) або за ліцензію на одного користувача (великий та середній бізнес).
Зверніть увагу, Facebook визнала факт відстеження. Навіть вимкнення “служби визначення місцеположення” не буде захищати користувачів від постійного спостереження з боку компанії, дозволяючи Facebook заробляти більше грошей на рекламі.
Також журналіст газети Washington Post на прикладі власного автомобіля Chevrolet Volt 2017 року продемонстрував, скільки інформації корпорація General Motors отримує від своїх транспортних засобів.
Стало відомо, що Google виправила помилку в Chrome 79, яка минулого тижня спричинила втрату даних для деяких додатків Android.
Компанія Google видалила розширення Avast і AVG з інтернет-магазину Chrome через гучну історію зі збором даних користувачів.