Scoperta da un ricercatore dei Rhino Security Labs, la falla permetteva agli hacker di ottenere privilegi di sistema e persino lanciare DDoS
Nvidia ha dichiarato di aver emesso una patch intesa a correggere un grave difetto di sicurezza nel software casalingo GeForce Experience. La vulnerabilità avrebbe permesso a terzi incomodi di ottenere privilegi elevati su una macchina che ospitava il programma, con il rischio di operazioni attivate da remoto con finalità non proprio etiche. GeForce Experience è uno strumento in grado di ottimizzare automaticamente l’esperienza con i giochi, così da consentire un adattamento alla configurazione hardware del PC. Oltre a ciò, la piattaforma può aggiornare i driver e le operazioni di messa a punto, anche senza un intervento manuale dell’utente. A scoprire il bug è stato David Yesland di Rhino Security Labs, che ha avvisato Nvidia, pronta a lavorare su una correzione.
Tutto risolto, per ora
Stando a quanto comunicato dalla compagnia, se un hacker fosse riuscito a ottenere l’accesso al PC avrebbe potuto sfruttare l’errore per eseguire codice dannoso e attacchi di tipo denial-of-service, oltre che a comandare gran parte del terminale tramite i privilegi di livello superiore. “Questa vulnerabilità consentiva la sovrascrittura di qualsiasi file di sistema a causa di autorizzazioni non sicure impostate sul registro di GeForce Experience, in qualità di dati utente System – ha affermato Yesland, spiegando il difetto etichettato come CVE-2019-5674 – inoltre, un documento di log ospitava informazioni che potevano essere manipolate dall’esterno, permettendo l’inserimento di righe come file batch, abili ad eseguire codice non sicuro, senza autorizzazione”.
In teoria, questo voleva dire poter causare un DDoS con la sola sovrascrittura di file di sistema critici. In quanto tale, il difetto ha ricevuto una valutazione del rischio di 8,8, un punteggio medio basato sul numero di sistemi su cui è installato il software e non una valutazione sulla pericolosità generale, in qualità di rischio assoluto. Intanto, Nvidia ha rilasciato la dovuta patch, che dovrebbe essere applicata automaticamente con gli aggiornamenti di GeForce Experience. Il difetto interessa la versione precedente alla 3.18, quindi se si sta utilizzando una release precedente sarà meglio avviare un update, qualora non sia già avvenuto di suo.
