Unschöne Sache: Der Nvidia-Treiber kommt aktuell wohl mit einem integrierten Node.js-Server, der für Updates vorgesehen ist, aber wohl auch die Ausführung von Malware ermöglicht. Hier ein paar Informationen.
Anzeige
Hersteller Nvidia fällt in letzter Zeit häufiger dadurch auf, dass er seine Treiber-Update-Funktionen zur eierlegendenden Wollmilchsau aufbohrt. Eigene Benutzerkonten, Zugriff auf Treiber nur nach Benutzeranmeldung und so weiter.
(Quelle)
Jetzt ist Sicherheitsexperten von Sec Consult aufgefallen, dass der Nvidia-Treiber mit einem Node.js-Server daherkommt. Das Ganze ist hier dokumentiert. Konkret geht es um den Web Helper Services, der letztendlich eine umbenannte Binärdatei von Node.js ist. Unter Windows kann der Grafiktreiber dann aktualisiert werden. Diese Aktualisierung sollte auf einer Whitelist stehen und signiert sein.
Dummerweise lässt sich der Node.js-Server auch interaktiv starten und dann können beliebige Befehle ausgeführt werden. Es ist ein Zugriff auf die Windows-API möglich, so dass das Whitelisting abschaltbar ist. Damit könnte Malware als Node.js-Modul eingeschleust und ausgeführt werden. Die Empfehlung der Sicherheitsforscher lautet, die Node.js-Server-Geschichte (sofern möglich) zu entfernen. Weitere Hinweise finden sich auch in diesem deutschsprachigen Golem-Beitrag. Nachtrag: Jo Bager hat bei heise.de im Nachgang diesen Artikel veröffentlicht.
Anzeige
Anzeige
Die entsprechende Komponente ist wohl in der "Geforce Experience" Anwendung, die man problemlos deinstallieren kann und nicht direkt im Treiber selber. Leider wird die Anwendung allerdings standardmäßig mit installiert, wenn man sie nicht wie anderes für viele überflüssiges Zeugs abwählt.
@Ingo: Danke für die Ergänzung – war auf dem Sprung in den Rheingau, als der Artikel entstand (musste mal wieder was für mich tun ;-) ).
Soweit ich sah hat den auch Adobe Creative Cloud, habe die jetzt deinstalliert, brauche nur den DC selbst.
Kann es sein, dass das schon wieder Schnee von gestern ist? Auf der Sicherheits-Seite von Nvidia steht das seit 14.12.2016 mit Lösungen, siehe hier:
http://nvidia.custhelp.com/app/answers/detail/a_id/4279
An dieser Stelle möchte ich auf ein anderes Sicherheitsleck von anderen Nvidia-Treiber hinweisen, dass aktualisiert mit 04.04.2017 auch gelöst wurde, siehe hier:
http://nvidia.custhelp.com/app/answers/detail/a_id/4398
Danke für die Links.
NVidia sollte endlich mal die Treiber abspecken. Oder nicht alles per default installieren.
Mich ärgerte schon die Sache mit dem updatususer:
http://www.tecchannel.de/a/windows-risiken-durch-versteckten-account-beheben,2040471
http://www.windows-net.de/14965.fehlermeldung-nvidia-update-service-daemon
Hat mich damals ziemlich geärgert.
Oder hier im Blog http://www.borncity.com/blog/2011/07/01/wo-kommt-der-ordner-updatususers-her/
Für alle die es interessiert – es betrifft o.g. Problem für GeForce Experience
Am 21.04.2017 hat Nvidia ein Sicherheits-Bulletin veröffentlicht und auf die Meldung verwiesen und gesagt, dass es schon am 14.12.2016 gefixt wurde. Der genaue Inhalt des Bulletins vom 21.04.2017 hat Nvidia dann auch geändert. Nun gibt es ein neues Sicherheitsbulletin vom 27.04.2017 (!) in der steht, dass es erneut gefixt wurde. Scheinbar ist Nvidia hier noch einmal in sich gegangen und hat erneut nachgearbeitet. Ich empfehle hierzu die englische Sicherheitsseite von Nvidia (Auf der deutschen Seite dauert es wohl immer, bis das dann dort auch eingestellt ist.) hier:
http://www.nvidia.com/object/product-security.html
Das neue vom 27.04.2017 ist dann hier:
http://nvidia.custhelp.com/app/answers/detail/a_id/4459
Danke für die Ergänzung.
Generell sollte Nvidia in sich gehen und das ganze Geraffel um die Treiberaktualisierung abspecken. Was die da für einen Zombie an Update gezüchtet haben, geht imho gar nicht.