Троянцы и привилегии: NVIDIA закрыла несколько серьёзных уязвимостей в драйверах GPU

На днях NVIDIA сообщила (здесь и здесь), что специалистами компании закрыт целый спектр уязвимостей в драйверах и в некоторых службах по обслуживанию графических процессоров GeForce. Уязвимости были от малоопасных до крайне серьёзных, что вело к риску утечки персональных данных пользователей и к другим неприятным последствиям. Из обнаруженных проблем три касались пакета GeForce Experience, который отвечает за автоматическое обновление драйверов, оптимизацию настроек графической подсистемы и за потоковую трансляцию и запись игрового процесса. Во-первых, была закрыта наиболее опасная уязвимость CVE-2019-5701 (7,8 балла по шкале CVSS), которая касалась служб потоковой трансляции GameStream. Злоумышленник с локальным доступом к машине мог загрузить DLL-библиотеку графического драйвера Intel без проверки подписи, что, через запуск вредоносного кода, давало доступ к информации, запуск отказа в обслуживании и возможность повышения привилегий.