Geforce Experience 3.0 - Tool verwendet alte Komponenten mit Sicherheitslücken

Geforce Experience 3.0 verwendet einige veraltete Komponenten mit bekannten und veröffentlichten Sicherheitslücken.

Das aktuelle Nvidia-Tool Geforce Experience 3.0 steht bei manchen Nutzern in der Kritik, da sich nun beliebte Features wie Shadowplay nicht mehr ohne vorherige Registrierung verwenden lassen. Außerdem gibt es einige Berichte über verschiedene Fehler und Beschwerden über die neue und laut manchen wenig übersichtliche Benutzeroberfläche. Doch das sind anscheinend nicht die einzigen Probleme mit dem neuen Nvidia-Tool.

So verwendet Geforce Experience 3.0 eine sehr alte Version des Entpackers 7-Zip, die Schwachstellen enthält, die es Angreifern erlauben, Code einzuschleusen und auszuführen. Die Komponente 7z.exe in Geforce Experience, die im Ordner \NVIDIA Corporation\NVIDIA GeForce Experience\ abgespeichert ist, trägt die Versionsnummer 9.20. Die bekannte und längst veröffentlichte Sicherheitslücke wurde mit Version 16.00 schon vor Monaten geschlossen, wie beispielsweise Heise Security berichtete. Das Tool wird jedoch immer noch mit der unsicheren Komponente angeboten.

Außerdem verwendet Geforce Experience 3.0 eine veraltete Version von node.js, die im Ordner \NVIDIA Corporation\NvNode\ in der Datei Nvidia Web Helper.exe zu finden ist. Das Tool nutzt Version 4.4.3 von node.js, die über einen möglichen Buffer Overflow ebenfalls für Angriffe mit der externen Ausführung von Schadcode ausgenutzt werden könnte. Alle Versionen von node.js vor Version 6.2, die es ebenfalls schon seit Monaten gibt, sind laut den Entwicklern von diesem Fehler betroffen. Der entsprechende Beitrag im Blog von Nodejs.org stammt vom Juni 2016.

Wie unser Leser DemianLucis mitteilt, hat er Nvidia im Rahmen des Beta-Programms zu Geforce Experience 3.0 mehrmals auf diese Sicherheitslücken hingewiesen, allerdings ohne Erfolg.

Quelle: Heise, Nodejs