全球繪圖晶片大廠 NVIDIA 日前針對旗下 NVIDIA GeForce Experience （GFE）的 Windows 版本應用軟體，發表資安修補更新，一共修補三個資安漏洞。

這三個資安漏洞中，最嚴重的是 CVE-2020-5977，發生在 NVIDIA Web Helper NodeJS Web Server 中，若有駭侵者將某個不受控制的搜尋路徑載入到節點模組時，就會引發錯誤，可導致駭侵者遠端執行任意程式碼、發動 DoS 攻擊、提升執行權限，並且竊取資料。

這個 CVE-2020-5977 的 CVSS 危險程度評分高達 8.2 分。

另一個高危險資安漏洞的編號是 CVE-2020-5990，CVSS 危險程度評分亦高達 7.3 分；這個漏洞發生在 ShadowPlay 模組中，駭侵者可用以提升自身執行權、遠端執行任意程式碼、發動 DoS 攻擊並且竊取資料。

第三個得到修補的漏洞是 CVE-2020-5978，可讓駭侵者提升執行權限或發動 DoS 攻擊；CVSS 評分為 3.2 分。

這三個漏洞的修補更新於 2020 年十月發行，使用 NVIDIA GeForce GTX 繪圖卡的 Windows 系統用戶，應立即下載並執行更新，以降低遭到駭侵者利用此批漏洞發動攻擊的風險。

• CVE編號：CVE-2020-5977、CVE-2020-5990、CVE-2020-5978
• 影響產品/版本：GeForce Experience Windows 版 2.30.5.70 之前版本
• 解決方案：下載並執行 2020 年十月 NVIDIA 發行的資安修補更新軟體

• 參考連結

https://nvidia.custhelp.com/app/answers/detail/a_id/5076

https://www.nvidia.com/en-us/geforce/geforce-experience/

https://www.bleepingcomputer.com/news/security/nvidia-patches-high-severity-geforce-experience-vulnerabilities/

• 【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/newepaper/lp-67-3.html