英伟达修复GeForce Experience软件严重漏洞

英伟达最近补丁，修复GeForce Experience中一个可能导致任意代码执行、拒绝服务（DoS）攻击或权限提升的潜在严重漏洞。NVIDIA GeForce Experience是一款搭配英伟达显卡的软件，它允许用户更新其驱动程序、优化游戏设置以及与其他用户共享内容。Rhino Security Labs的David Yesland发现该软件存在数个任意文件写入的潜在漏洞，这些问题允许攻击者覆盖任何系统文件，源于GeForce Experience使用SYSTEM权限写入数据的机制。

  该缺陷被命名为CVE-2019-5674，可以通过覆盖关键系统文件来来进行DoS攻击。通过将命令注入特定的NVIDIA日志文件并在Windows Startup文件夹中创建恶意.bat文件，还可以利用此漏洞执行任意代码。只要用户登录，就会执行.bat文件，如果用户具有管理员权限，则会导致权限提升。