15.07.2021

NVIDIA исправляет серьезную уязвимость, использующую спуфинг-атаки через GeForce Experience

Bitdefender > Новости > NVIDIA исправляет серьезную уязвимость, использующую спуфинг-атаки через GeForce Experience

NVIDIA исправила уязвимость GeForce Experience с высокой степенью серьезности, которая позволяла злоумышленникам выполнять атаки спуфинга и компрометировать токен входа пользователя.

NVIDIA предлагает своим пользователям графических процессоров приложение под названием GeForce Experience, которое:

  • позволяет легко устанавливать последние версии драйверов,
  • изменять настройки игры в соответствии с производительностью ПК,
  • записывать видео,
  • транслировать и т. д.

Приложение требует от пользователей входа в систему для получения различных привилегий. Но оказалось, что в приложении была уязвимость высокой степени серьезности, которую компания быстро исправила.

Поскольку удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться уязвимостью через Интернет, это большая проблема. Но тот факт, что он все еще требовал от пользователя некоторой информации, например щелчка по ссылке, снизил уровень серьезности до 8,3.

Представитель компании прокомментировал:

«Программное обеспечение NVIDIA GeForce Experience содержит уязвимость, при которой, если пользователь щелкает злонамеренно отформатированную ссылку, которая открывает страницу входа в GeForce Experience в новой вкладке браузера вместо приложения GeForce Experience, и вводит свои данные для входа, вредоносный сайт может получить доступ к токен сеанса входа пользователя в систему. Такая атака может привести к доступу, изменению или потере данных этих целевых пользователей».

 

В компании пояснили, что уязвимость была возможна только потому, что приложение неправильно анализировало специально отформатированные ссылки:

«Удаленный злоумышленник может создать специально созданную ссылку, которая открывает страницу входа в GeForce Experience в новой вкладке браузера вместо приложения GeForce Experience и вводит свои данные для входа, вредоносный сайт может получить доступ к токену сеанса входа пользователя».

 

Установка последней версии приложения устраняет этот эксплойт. Это не должно быть проблемой, поскольку обновление напрямую отправляется пользователям, у которых установлено приложение, и устанавливается при открытии приложения.

Новости
04.08.2021
Прислали email: ваш компьютер взломан, а конфиденциальные данные раскрыты
02.08.2021
8 шагов для защиты учетной записи и данных при использовании Discord
30.07.2021
10 советов по предотвращению мошенничеств на популярных игровых онлайн-платформах