NVIDIA 立體聲 3D 驅動程式中的弱點可能會允許提高許可權
發佈時間: 2011 年 12 月 20 日
版本: 1.0
概觀
執行摘要
Microsoft 會提供探索和補救影響 NVIDIA 立體聲 3D 驅動程式之弱點的通知。 Microsoft 探索並揭露了與受影響廠商 NVIDIA 協調弱點洩漏下的弱點。 NVIDIA 已補救其軟體中的弱點。
NVIDIA Stereoscopic 3D 驅動程式未正確驗證並清理具名管道的特定命令時,就會存在弱點。 成功利用此弱點的攻擊者可以在本機系統的安全性內容中執行命令,並完全控制受影響的系統。 攻擊者接著可以安裝程式;檢視、變更或刪除數據;或建立具有完整系統管理許可權的新帳戶。
Microsoft 弱點研究會向 NVIDIA 回報此問題,並與 NVIDIA 協調,以確保此問題的補救。 弱點已獲指派通用弱點和暴露清單中的 CVE-2011-4784 專案。 如需 NVIDIA 更新的詳細資訊,請參閱 NVIDIA 驅動程式下載頁面。
緩和因素
- 攻擊者必須具備有效的登入認證,而且能夠在本機登入以惡意探索此弱點。
- 無法透過電子郵件或網站自動惡意探索此弱點。
諮詢詳細數據
用途和建議
諮詢目的: 通知使用者弱點及其補救。
諮詢狀態: 已發佈諮詢。
建議: 檢閱 [建議的動作] 區段,並視情況進行設定。
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考 | 識別 |
|---|---|
| 常見弱點和暴露 | CVE-2011-4784 |
受影響的和非受影響的軟體
此諮詢會討論下列軟體:
| 受影響的軟體 |
|---|
| NVIDIA 立體聲 3D 驅動程式 7.17.12.7536 和舊版 |
| 非受影響的軟體 |
| NVIDIA 立體聲 3D 驅動程式 7.17.12.7565 和更新版本 |
常見問題集
此諮詢的範圍為何?
此諮詢是與受影響廠商協調發行的一部分,可通知客戶可能會影響其系統的安全性問題。
這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否。 已透過受影響第三方廠商的更新來修正此弱點。 更新會補救數據表 中所列的軟體受影響的軟體。
弱點的範圍為何?
這是特權提升弱點,可讓已經擁有有效用戶帳戶的攻擊者在本機系統的安全性內容中執行命令。
造成弱點的原因為何?
NVIDIA Stereoscopic 3D 驅動程式未正確驗證並清理具名管道的特定命令時,就會存在弱點。
攻擊者可能會使用此弱點來執行哪些動作?
成功惡意探索此弱點的攻擊者可以在本機系統的安全性內容中完全控制受影響的系統。 攻擊者接著可以安裝程式;檢視、變更或刪除數據;或建立具有完整系統管理員許可權的新帳戶。
攻擊者如何利用弱點?
在本機登入目標系統的攻擊者,可能會藉由將特定命令傳送至具名管道來惡意探索此弱點。
建議的動作
下載並使用最新版的 NVIDIA 驅動程式。
其他資訊
通知
Microsoft 感謝 下列事項:
- jeong Wook oh of Microsoft 惡意程式碼防護中心 (MMPC) for working with Microsoft Vulnerability Research to have this vulnerability reported and remediated
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2011 年 12 月 20 日):已發佈諮詢。
建置於 2014-04-18T13:49:36Z-07:00