NVD Vulnerability Detail

CVE-2015-7865

Summary	nvSCPAPISvr.exe in the Stereoscopic 3D Driver Service in the NVIDIA GPU graphics driver R340 before 341.92, R352 before 354.35, and R358 before 358.87 on Windows does not properly restrict access to the stereosvrpipe named pipe, which allows local users to gain privileges via a commandline in a number 2 command, which is stored in the HKEY_LOCAL_MACHINE explorer Run registry key, a different vulnerability than CVE-2011-4784.
Publication Date	Nov. 25, 2015, 5:59 a.m.
Registration Date	Jan. 26, 2021, 2:57 p.m.
Last Update	Nov. 21, 2024, 11:37 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://nvidia.custhelp.com/app/answers/detail/a_id/3807/kw/security	Vendor Advisory
2	http://nvidia.custhelp.com/app/answers/detail/a_id/3807/kw/security	Vendor Advisory
3	http://packetstormsecurity.com/files/134520/NVIDIA-Stereoscopic-3D-Driver-Service-Arbitrary-Run-Key-Creation.html	Third Party Advisory VDB Entry
4	http://packetstormsecurity.com/files/134520/NVIDIA-Stereoscopic-3D-Driver-Service-Arbitrary-Run-Key-Creation.html	Third Party Advisory VDB Entry
5	http://www.securitytracker.com/id/1034173	Third Party Advisory VDB Entry
6	http://www.securitytracker.com/id/1034173	Third Party Advisory VDB Entry
7	https://code.google.com/p/google-security-research/issues/detail?id=515	Exploit Mitigation Third Party Advisory
8	https://code.google.com/p/google-security-research/issues/detail?id=515	Exploit Mitigation Third Party Advisory
9	https://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04971867	Vendor Advisory
10	https://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04971867	Vendor Advisory
11	https://www.exploit-db.com/exploits/38792/	Third Party Advisory VDB Entry
12	https://www.exploit-db.com/exploits/38792/	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html

JVN Vulnerability Information

Windows 上で稼動する NVIDIA GPU グラフィックスドライバの Stereoscopic 3D ドライバサービスにおける権限を取得される脆弱性

Title	Windows 上で稼動する NVIDIA GPU グラフィックスドライバの Stereoscopic 3D ドライバサービスにおける権限を取得される脆弱性
Summary	Windows 上で稼動する NVIDIA GPU グラフィックスドライバの Stereoscopic 3D ドライバサービスの nvSCPAPISvr.exe は、stereosvrpipe 名前付きパイプへのアクセスを適切に制限しないため、権限を取得される脆弱性が存在します。本脆弱性は、CVE-2011-4784 とは異なる脆弱性です。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
Possible impacts	ローカルユーザにより、2 番コマンド (a number 2 command) のコマンドラインを介して、HKEY_LOCAL_MACHINE の explorer の Run レジストリキーに保存されることで、権限を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 13, 2015, midnight
Registration Date	Nov. 26, 2015, 2:41 p.m.
Last Update	Nov. 26, 2015, 2:41 p.m.

Affected System

NVIDIA

NVIDIA GPU ディスプレイドライバ R340 341.92 未満 (Windows)

NVIDIA GPU ディスプレイドライバ R352 354.35 未満 (Windows)

NVIDIA GPU ディスプレイドライバ R358 358.87 未満 (Windows)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-7865	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7865
National Vulnerability Database (NVD)
2	CVE-2015-7865	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7865
NVIDIA SUPPORT
3	CVE-2015-7865: STEREOSCOPIC 3D DRIVER SERVICE ARBITRARY RUN KEY CREATION	http://nvidia.custhelp.com/app/answers/detail/a_id/3807/kw/security

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Google Code
1	Issue 515: NVIDIA: Stereoscopic 3D Driver Service Arbitrary Run Key Creation	https://code.google.com/p/google-security-research/issues/detail?id=515

Change Log

No	Changed Details	Date of change
0	[2015年11月26日] 掲載	Feb. 17, 2018, 10:37 a.m.