Vulnerabilidades en GOG y GeForce Experience: toca actualizar sistemas

Semana movida para los “jugones” y en general para todos los usuarios, porque el descubrimiento de vulnerabilidades de software se produce a diario y ello obliga a insistir en una de las principales recomendaciones generales en ciberseguridad: mantener sistemas y aplicaciones actualizadas.

La cuestión es lógica. Cuando las versiones de software son más antiguas tienen un mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa. Todos los sistemas operativos cuentan con herramientas para mantener actualizados sus equipos y las relativas a seguridad son obligatorias. Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir los últimos parches de seguridad.

Vulnerabilidades en GOG

Investigadores de Cisco Talos han revelado esta semana múltiples vulnerabilidades en GOG, la plataforma de distribución digital de videojuegos especializado en juegos clásicos más antiguos y que lleva por bandera que todo lo que ofrece está libre de DRM. Es una de las más populares del mercado y seguramente la mayor alternativa al Steam de Valve.

Los investigadores de Cisco afirman que el lanzador de videojuegos GOG Galaxy contiene seis fallos que pueden permitir que un actor malintencionado realice una variedad de ataques. Lo más peligroso son dos vulnerabilidades críticas, que permiten a un atacante ejecutar código arbitrario con privilegios del sistema.

Están etiquetadas como CVE-2018-4048 y CVE-2018-4049 y afectan respectivamente a los permisos del directorio “temp” y del directorio “juegos” del lanzador de GOG. “Un atacante puede sobrescribir los ejecutables del Desktop Galaxy Updater para explotar estas vulnerabilidades y ejecutar código arbitrario con privilegios de sistema”, explican los investigadores.

GOG fue informado por Cisco Talos de estas vulnerabilidades y la plataforma ha publicado una nueva versión del cliente. Se recomienda a los usuarios actualizar a la última versión de GOG Galaxy Games a la mayor brevedad.

Vulnerabilidad en GeForce Experience

También se ha encontrado una vulnerabilidad crítica en el GeForce Experience, un conjunto de software de gestión para tarjetas gráficas NVIDIA que está instalado en millones de equipos ya que permite la instalación/actualización de los controladores, optimización de juegos y otras funciones para grabar y compartir contenidos.

La vulnerabilidad fue descubierta por Rhino Security Labs, se etiquetó como CVE‑2019‑5674 y afecta a todas las versiones del software anteriores a la 3.18, permitiendo a un atacante obtener una elevación de privilegios y con ello ejecutar código malicioso o provocar denegaciones de servicios en los equipos donde está instalado.

Aunque no se han detectado todavía informes de explotación de la vulnerabilidad, se recomienda a los usuarios parchear el software tan pronto como sea posible. La actualización se realiza desde el mismo software instalado o descargando la última versión del GeForce Experience que actualmente es la v3.18.0.94.