___

Английская команда Pen Test Partners опубликовала сегодня описание уязвимости CVE-2020-5980 в утилите командной строки NVIDIA SMI, которая поставляется в комплекте с драйверами NVIDIA и установлена на большинстве компьютеров с видеокартами производителя. Уязвимость заключается в неправильном поиске подключаемых библиотек DLL и позволяет, соответственно, провести т.н. подмену DLL (DLL hijacking), что, в свою очередь, может привести к удаленному выполнению кода (RCE) хакером в атакованной системе. Ошибка была выявлена исследователями в июле, а вчера NVIDIA выпустили обновление безопасности, в котором CVE-2020-5980 устранена. Кроме этой уязвимости устранен также ряд других ошибок, в том числе высокой степени критичности, которые могут привести к RCE , отказу в обслуживании, повышению привилегий, а также раскрытию информации. Поскольку видеокартами от NVIDIA оснащено подавляющее большинство ПК, то рекомендуем всем обратить на это внимание и немедленно обновиться.