CERTA-2011-AVI-716

Vulnerability from certfr_avis - Published: 2011-12-22 - Updated: 2011-12-22

Une vulnérabilité dans le pilote NVIDIA Stereoscopic 3D permet à une personne malveillante de prendre le contrôle total du système.

Description

Une vulnérabilité est présente dans le pilote NVIDIA Stereoscopic 3D. Ce pilote ne vérifie pas correctement les commandes envoyées à un canal nommé (named pipe). Cette vulnérabilité peut être exploitée par une personne malveillante pour exécuter des commandes arbitraires dans le contexte du compte LocalSystem et ainsi prendre le contrôle total de la machine. Toutefois, l'attaquant doit posséder des identifiants valides et pouvoir se connecter en local sur la machine.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Pilote NVIDIA Stereoscopic 3D pour Windows.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003ePilote NVIDIA \u003cSPAN class=\"textit\"\u003eStereoscopic 3D\u003c/SPAN\u003e pour  Windows.\u003c/P\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le pilote NVIDIA Stereoscopic 3D. Ce\npilote ne v\u00e9rifie pas correctement les commandes envoy\u00e9es \u00e0 un canal\nnomm\u00e9 (named pipe). Cette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e par une\npersonne malveillante pour ex\u00e9cuter des commandes arbitraires dans le\ncontexte du compte LocalSystem et ainsi prendre le contr\u00f4le total de la\nmachine. Toutefois, l\u0027attaquant doit poss\u00e9der des identifiants valides\net pouvoir se connecter en local sur la machine.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2011-4784",
      "url": "https://www.cve.org/CVERecord?id=CVE-2011-4784"
    }
  ],
  "initial_release_date": "2011-12-22T00:00:00",
  "last_revision_date": "2011-12-22T00:00:00",
  "links": [
    {
      "title": "T\u00e9l\u00e9chargement des derniers pilotes NVIDIA :",
      "url": "http://www.nvidia.com/Download/index.aspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MSVR11-016 du 20 d\u00e9cembre    2011 :",
      "url": "http://technet.microsoft.com/en-us/security/msvr/MSVR11-016"
    }
  ],
  "reference": "CERTA-2011-AVI-716",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2011-12-22T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans le pilote NVIDIA \u003cspan\nclass=\"textit\"\u003eStereoscopic 3D\u003c/span\u003e permet \u00e0 une personne malveillante\nde prendre le contr\u00f4le total du syst\u00e8me.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le pilote NVIDIA Stereoscopic 3D",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MSVR11-016 du 20 d\u00e9cembre 2011",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.