Lenovo 安全公告：LEN-27815

潜在影响：权限提升、信息泄露、拒绝服务

严重性：高

影响范围：全行业

CVE ID：CVE-2019-5676、CVE-2019-5678

摘要描述：

NVIDIA 发布了软件更新，该更新可解决 NVIDIA GeForce Experience 中的潜在安全漏洞。漏洞总结如下。

CVE‑2019‑5676：NVIDIA GeForce Experience 安装程序包含一个漏洞：其会错误地在未验证路径或签名的情况下加载 Windows 系统 DLL（也称为二进制植入或 DLL 预加载攻击），可能导致通过执行代码造成权限提升。攻击者需要本地系统访问权限。

CVE‑2019‑5678：NVIDIA GeForce Experience 的 Web Helper 组件中包含一个漏洞：具有本地系统访问权限的攻击者可以伪造可能不会经过正确验证的输入。此类攻击可能导致执行代码，拒绝服务或信息泄露。

应采取哪些措施进行自我保护：

NVIDIA 建议您更新到“产品影响”部分中针对您的系统列出的 NVIDIA GeForce Experience 版本（或更高版本）。

产品影响：

正在调查

参考资料：

https://nvidia.custhelp.com/app/answers/detail/a_id/4806