多个NVIDIA漏洞允许攻击者在系统上提升权限
NVIDIA发布了一项关键安全公告,披露其NVIDIA App软件中存在多个漏洞,攻击者可利用这些漏洞在Windows系统上提升权限。
这些漏洞已在2025年9月的更新中得到修复,源于Frameview SDK组件安装过程中的文件处理不当。
Windows 10和11上的NVIDIA App用户应立即安装11.0.5.245或更高版本以保护其系统。
漏洞概述
主要问题被追踪为CVE-2025-23297,存在于Windows上的NVIDIA Installer for NvAPP中。
在Frameview SDK安装过程中,未经授权的本地用户可以修改Frameview SDK目录中的文件。
利用此漏洞可使攻击者获得提升的权限,可能导致系统完全被攻陷。
关键细节:
- 攻击者仅需本地非特权访问即可执行利用
- 一旦获得本地访问权限,无需用户交互
- 成功的攻击可能危及系统的机密性、完整性和可用性
NVIDIA感谢KAIST Hacking Lab的Dong-uk Kim和JunYoung Park报告此问题。
漏洞详情
| CVE ID | 基础评分 | 严重程度 | 影响 |
|---|---|---|---|
| CVE-2025-23297 | 7.8 | 高危 | 权限提升 |
此安全更新适用于在Windows上运行的NVIDIA App:
| CVE ID | 受影响产品 | 平台/操作系统 | 受影响版本 | 更新版本 |
|---|---|---|---|---|
| CVE-2025-23297 | NVIDIA App | Windows 10/11 | 11.0.5.245之前的所有版本 | 11.0.5.245 |
缓解措施和建议
为保护系统免受这些漏洞影响:
- 从NVIDIA App网站下载并安装最新的NVIDIA App更新(版本11.0.5.245)
- 启动NVIDIA App并在"关于"部分检查版本,验证安装是否成功
- 订阅NVIDIA产品安全公告以接收未来更新通知
- 通过NVIDIA产品安全页面报告任何异常,以协助PSIRT团队快速响应
NVIDIA对KAIST Hacking Lab的Dong-uk Kim和JunYoung Park负责任地披露CVE-2025-23297表示感谢。
所有NVIDIA材料均按"原样"提供,不附带任何保证。规格如有变更,恕不另行通知。 NVIDIA不对因使用此信息导致的第三方专利侵权或系统配置错误承担责任。