Lenovo 安全公告：LEN-24779

潜在影响：信息泄露、拒绝服务、权限提升

严重性：高

影响范围：全行业

CVE ID：CVE-2018-6257、CVE-2018-6258、CVE-2018-6259、CVE-2018-6261、CVE-2018-6262

摘要描述：

NVIDIA 发布了软件更新，该更新可解决 GeForce Experience 中的潜在安全漏洞。在已启用 GameStream 且未经授权的用户获取了系统访问权限的情形下，这些问题可能会导致有限的用户信息泄露、拒绝服务或权限提升。我们在下面对这些漏洞进行了汇总。

CVE-2018-6257：NVIDIA GeForce Experience 在启用 GameStream 时存在潜在漏洞，在其启用期间，不恰当的访问控制可能会导致拒绝服务、权限提升或两者同时发生。

CVE-2018-6258：NVIDIA GeForce Experience 在 GameStream 安装期间存在潜在漏洞，具有系统访问权限的攻击者可能会实施中间人（MitM）攻击来获取敏感信息。

CVE-2018-6259: NVIDIA GeForce Experience 在 GameStream 及特定系统功能已启用、攻击者具有系统访问权限的情形下存在潜在漏洞，可能会发生有限的信息泄露。

CVE-2018-6261：NVIDIA GeForce Experience 在启用 GameStream 时存在漏洞，该启用会在某个文件上设置错误权限，可能导致具有系统访问权限的用户执行代码、拒绝服务或提升权限。

CVE-2018-6262：NVIDIA GeForce Experience 在启用 GameStream 时存在漏洞，在其启用期间，具有系统访问权限的用户可能可以获取有限的敏感用户信息，从而导致信息泄露。

应采取哪些措施进行自我保护：

NVIDIA 建议您更新到“产品影响”部分中针对您的系统列出的 NVIDIA GeForce Experience 版本（或更高版本）。在该应用程序能够添加补丁前，立即对您的系统加以保护并禁用 GeForce Experience 游戏中共享覆盖功能。