盡管Nvidia的GFE安全專(zhuān)家說(shuō)它仍然是簡(jiǎn)單卸載的好主意

4月份在Nvidia的GeForce Experience應(yīng)用程序中發(fā)現(xiàn)了一個(gè)安全漏洞，你需要確保，如果你正在運(yùn)行該軟件，它會(huì)盡快更新到3.19版本。否則haxxorz會(huì)得到你?；蛘呖赡軙?huì)得到你。不可否認(rèn)，就像最近的PC安全恐慌一樣，你不太可能在這個(gè)代碼注入攻擊的二進(jìn)制手中遭受損失，但它仍然總是值得關(guān)閉一個(gè)問(wèn)題才能成為一個(gè)問(wèn)題。

Nvidia于4月16日被告知該漏洞的存在，該公司確認(rèn)安全漏洞將在該月底通過(guò)GeForce Experience更新到版本3.19進(jìn)行修補(bǔ)。該更新于5月27日上線，Nvidia已發(fā)布安全更新，聲明該問(wèn)題已被消除。

雖然首次報(bào)告該漏洞利用的公司Rhino Security Labs仍然建議如果您實(shí)際上不需要使用GFE，那么“從系統(tǒng)中卸載它以減少它引入的額外攻擊面是一個(gè)好主意。 ”

Nvidia的安全公告聲稱可以解決“可能導(dǎo)致信息泄露，特權(quán)升級(jí)，拒絕服務(wù)或代碼執(zhí)行”的問(wèn)題，并解釋說(shuō)用戶需要去下載最新版本的GFE，您可以在此處找到。

Rhino安全實(shí)驗(yàn)室報(bào)告的問(wèn)題會(huì)影響最新更新之前的所有軟件版本，并被描述為：“Web Helper組件中的漏洞，具有本地系統(tǒng)訪問(wèn)權(quán)限的攻擊者可以創(chuàng)建可能無(wú)法正確驗(yàn)證的輸入。這種攻擊可能導(dǎo)致代碼執(zhí)行，拒絕服務(wù)或信息泄露。“

安全專(zhuān)家解釋說(shuō)，攻擊可以通過(guò)瀏覽器進(jìn)行，惡意的演員可以說(shuō)服用戶訪問(wèn)某個(gè)網(wǎng)站，只需點(diǎn)擊幾下即可打開(kāi)漏洞。

“雖然這確實(shí)需要一些用戶互動(dòng)，”Rhino安全實(shí)驗(yàn)室說(shuō)，“它足夠小，欺騙用戶執(zhí)行實(shí)現(xiàn)這一目標(biāo)所需的操作將是微不足道的。”

公告還引用了第二個(gè)漏洞，它在不驗(yàn)證路徑或簽名的情況下錯(cuò)誤地加載Windows系統(tǒng)DLL文件，使其保持對(duì)特權(quán)升級(jí)的開(kāi)放，但攻擊者需要本地訪問(wèn)您的計(jì)算機(jī)。

但是，Rhino安全實(shí)驗(yàn)室確實(shí)表示，盡管已發(fā)現(xiàn)的命令注入問(wèn)題已在最新版本的GFE中得到修復(fù)，但仍有一部分問(wèn)題是Nvidia尚未修補(bǔ)該軟件，這意味著GeForce Experience API仍然通過(guò)瀏覽器對(duì)外部交互開(kāi)放。

所以，是的，這將增加一點(diǎn)額外的燃料'我不是安裝GFE'火。