NVIDIA исправила RCE-уязвимость в GeForce Experience

Компания NVIDIA выпустила обновление, исправляющее критическую уязвимость (CVE‑2020‑5964) в приложении GeForce Experience, эксплуатация которой позволяет удаленно выполнить код. Программное обеспечение NVIDIA GeForce Experience работает с видеокартами GeForce и используется для управления драйверами, оптимизации настроек видеоигр и для потоковой трансляции.

Уязвимость связана с тем, что проверка целостности ресурсов приложения может быть пропущена. Отсутствие должной проверки ресурсов приложения может быть использовано для компрометации программного обеспечения, предоставляя злоумышленнику возможность удаленно выполнить код, вызвать состояние отказа в обслуживании и похитить конфиденциальную информацию.

Проблема получила оценку в 6,5 балла по шкале CVSS и затрагивает все версии программного обеспечения GeForce Experience до 3.20.4 для Windows.

Специалист Майкл де Ганс (Michael de Gans) обнаружил опасную уязвимость (CVE‑2020‑5974) в NVIDIA JetPack SDK. Проблема получила оценку в 8,8 балла по шкале CVSS и затрагивает версии JetPack 4.2 и 4.3. Проблема связана с ошибками в работе установочных скриптов, что может привести к некорректным разрешениям, установленным для некоторых каталогов. Эксплуатация уязвимости позволяет злоумышленнику повысить привилегии.