NVIDIA 發表重要軟體更新，修復 GeForce Experience 三個資安漏洞

參考網站：

TWCERT/CC NVIDIA 發表重要軟體更新，修復 GeForce Experience 三個資安漏洞

https://www.twcert.org.tw/tw/cp-104-4109-9c654-1.html

 

全球繪圖晶片大廠 NVIDIA 日前針對旗下 NVIDIA GeForce Experience （GFE）的 Windows 版本應用軟體，發表資安修補更新，一共修補三個資安漏洞。

 

這三個資安漏洞中，最嚴重的是 CVE-2020-5977，發生在 NVIDIA Web Helper NodeJS Web Server 中，若有駭侵者將某個不受控制的搜尋路徑載入到節點模組時，就會引發錯誤，可導致駭侵者遠端執行任意程式碼、發動 DoS 攻擊、提升執行權限，並且竊取資料。

 

這個 CVE-2020-5977 的 CVSS 危險程度評分高達 8.2 分。

 

另一個高危險資安漏洞的編號是 CVE-2020-5990，CVSS 危險程度評分亦高達 7.3 分；這個漏洞發生在 ShadowPlay 模組中，駭侵者可用以提升自身執行權、遠端執行任意程式碼、發動 DoS 攻擊並且竊取資料。

 

第三個得到修補的漏洞是 CVE-2020-5978，可讓駭侵者提升執行權限或發動 DoS 攻擊；CVSS 評分為 3.2 分。

 

這三個漏洞的修補更新於 2020 年十月發行，使用 NVIDIA GeForce GTX 繪圖卡的 Windows 系統用戶，應立即下載並執行更新，以降低遭到駭侵者利用此批漏洞發動攻擊的風險。

• CVE編號：CVE-2020-5977、CVE-2020-5990、CVE-2020-5978

• 影響產品/版本：GeForce Experience Windows 版 2.30.5.70 之前版本

解決方案：下載並執行 2020 年十月 NVIDIA 發行的資安修補更新軟體