NVIDIA今天发布了一个安全更新，用以修复一个存在于Windows NVIDIA GeForce Experience (GFE)应用中的漏洞。该漏洞可能允许潜在的本地攻击者在运行未修补的应用上触发拒绝服务（DoS）状态或提升权限。

尽管此漏洞要求潜在的攻击者具有本地用户访问权限，并且不能被远程利用，但攻击者仍可以通过在运行有漏洞的NVIDIA GFE版本的系统上远程传输恶意工具来滥用它。

此外，根据NVIDIA的说法，此漏洞的攻击复杂度较低，要求的权限较低，并且不需要用户交互。

NVIDIA GFE是GeForce GTX显卡的配套软件。根据NVIDIA，NVIDIA GFE可以“使驱动程序保持最新状态，自动优化游戏设置，并为您提供与朋友分享最美好游戏时光的最简单方法”。

被评为高危的安全问题

攻击者可以利用此漏洞（CVE-2019-5702）来提升权限，从而获得超出系统最初授予的权限。

成功的攻击还可以通过出发拒绝服务状态，使得运行没有被打上补丁程序的Windows计算机无法使用。

下面详细介绍了2019年12月安全更新中修复的CVE-2019-5702漏洞，以及由NVIDIA给出的完整描述和CVSS V3评分。

CVE: CVE-2019-5702
描述: 启用GameStream时，NVIDIA GeForce Experience包含一个漏洞，在该漏洞中，具有本地系统访问权限的攻击者可以破坏系统文件，这将导致拒绝服务或权限提升。
评分: 8.4
向量: AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

NVIDIA表示，“风险评估是基于各种已安装系统的平均风险，可能并不能代表本地安装的真正风险。”

该公司还“建议咨询安全或IT专业人员，以评估特定配置的风险。”

受影响的GeForce Experience版本

该漏洞影响运行3.20.2版本之前的NVIDIA GeForce Experience版本的Windows计算机。

NVIDIA补充道，“支持该产品的早期软件分支版本也会受到影响。如果使用的是较早的分支版本，请升级到最新的分支版本。”

要获得此次的安全更新，NVIDIA GeForce Experience用户需要从今天发布的GeForce Experience下载页面下载最新版本，或者启动GFE客户端，该客户端将通过内置的更新机制自动获取该更新。

NVIDIA在5月和11月发布了安全更新，修复了一系列其他的高危GFE漏洞。这些漏洞可能使具有基本用户权限的本地攻击者可以在易受攻击的Windows设别上提升用户权限，出发代码执行，或执行拒绝服务攻击（DoS）。