Das hört sich doch evrdammt schnuckelig an... :freak:

https://www.golem.de/news/whitelist-umgehen-node-server-im-nvidia-treiber-ermoeglicht-malware-ausfuehrung-1704-127435.html


http://blog.sec-consult.com/2017/04/application-whitelisting-application.html

Laut einem Kommentar bei Golem könnte es zu GeForce Experience gehören. Ich habs nicht installiert und habe die Datei ebenfalls nicht im System.

Die Bloatware ist also offenbar nicht nur an sich selbst Spyware, sondern ist überdies auch für Malware ein williges Vehikel. :freak:

Ja, gehört anscheinend zu GFE. Nach dessen Deinstallation ist der fragliche Ordner weg.

https://www.reddit.com/r/nvidia/comments/66otvu/abusing_nvidias_nodejs_to_bypass_application/dgkqml5/?st=j1sac8uw&sh=e1306860
"This has been resolved. The changes will be part of our next release of GeForce Experience."

https://www.reddit.com/r/nvidia/comments/66otvu/abusing_nvidias_nodejs_to_bypass_application/dgkqml5/?st=j1sac8uw&sh=e1306860
"This has been resolved. The changes will be part of our next release of GeForce Experience."

Immer wieder herrlich, wie offen und ausführlich diese Firma (ja, sie stehen da nicht alleine da) sich der Probleme ihrer Kunden annimmt.

Aber, wenn ich ehrlich bin, finde ich die zwei Fragen auf reddit schon einer Antwort wert.
Sind aber auch nur zwei Fragen im ganzen Thread, haben da die anderen User schon aufgegeben? *SCNR*

Es gibt inzwischen eine neue aktualisierte GFE-Version speziell zu diesen Thema inkl. der Security-Fixes zum Download:
http://www.nvidia.de/object/geforce-experience-download-de.html
https://nvidia.custhelp.com/app/answers/detail/a_id/4279/kw/CVE%202016-8827

Also geht es um Node.js. Bei mir zeigt das Programm Securia PSI an das es ein Veraltetes Programm ist. Es wird empfohlen das Programm auf Version 7.5 zu aktualisieren. Benutzt NVidia nicht die aktuelle Version. Was soll das Programm darstellen und wie löse ich das Problem.

Fix vom Blaire löscht weder das Programm noch wird die Version von Node.js auch nicht auf die Version 7.5 aktualiesiert. Auch ist das Programm in zwei Version vorhanden. ein als 32bit und einmal als 64bit.

Soll ich das Programm Node.js nun manuell auf die Version 7.5 aktualisieren? Oder was ist zu tun?

Ist Windows wohl doch nicht das perfekte OS für dich, wenn dich die Abhängigkeiten-Hölle verwirrt...

Soll ich das Programm Node.js nun manuell auf die Version 7.5 aktualisieren? Oder was ist zu tun?

Nichts, Node.js ist mit der Software von Nvidia gebundelt. Nvidia muss das updaten und dir dann bereitstellen. So funktioniert Softwarewartung von Dritten in den meisten Fällen unter Windows.

Selbst wenn du global ein neueres Node.js installierst, wird das den Nvidia-Treiber wahrscheinlich nicht interessieren. Du könntest natürlich versuchen irgendwie manuell die Pfade zu modifizeren, aber das ist wahrscheinlich nicht ganz so einfach und wird eventuell auch nicht funktionieren.

Nichts, Node.js ist mit der Software von Nvidia gebundelt. Nvidia muss das updaten und dir dann bereitstellen. So funktioniert Softwarewartung von Dritten in den meisten Fällen unter Windows.

Selbst wenn du global ein neueres Node.js installierst, wird das den Nvidia-Treiber wahrscheinlich nicht interessieren. Du könntest natürlich versuchen irgendwie manuell die Pfade zu modifizeren, aber das ist wahrscheinlich nicht ganz so einfach und wird eventuell auch nicht funktionieren.
Wieso benutzt NVidia dann nicht die aktuelle Version der Software. Sondern veraltetet?

Wieso benutzt NVidia dann nicht die aktuelle Version der Software. Sondern veraltetet?

Weil Nvidia andere Prioritäten hat als ihre Software zu fixen. Z.B. Grafikkarten verkaufen.

Weil Nvidia andere Prioritäten hat als ihre Software zu fixen. Z.B. Grafikkarten verkaufen.
Denn verstehe ich das Fix nicht was Blaire verlinkt hat. Was wird denn Gefixt, wenn die Version veraltet beibt und somit anfällig ist für Schadsoftware. Verstehe denn Sinn des NVidia Fixes nicht.

Denn verstehe ich das Fix nicht was Blaire verlinkt hat. Was wird denn Gefixt, wenn die Version veraltet beibt und somit anfällig ist für Schadsoftware. Verstehe denn Sinn des NVidia Fixes nicht.

Dass Nvidias Node.js veraltet ist, ist wahrscheinlich ein komplett unabhängiges Problem. Nur weil sie auf eine ältere Version setzen, heißt das aber nicht, dass diese spezielle Sicherheitslücke mit dem Update noch ausnutzbar ist.

Mal ganz davon abgesehen wird Securia PSI nicht unbedingt das schlaueste Programm sein und wahrscheinlich nur die Versionsnummern von Node.js vergleichen. Das kann ja nicht wissen, was Nvidia da eventuell aus neueren Versionen gebackportet hat. So Programme wie Securia PSI sollen Nutzer daran erinnern ihre Anwendungen zu updaten, aber bei den Libraries der Programme selbst versagt das Konzept natürlich.

So oder so, du kannst nicht mehr machen als einfach die Updates von Nvidia zu installieren und auf das Beste zu hoffen.

Wenn dir übrigens schon bei so Kleinigkeiten unwohl wird, kann ich nicht empfehlen da einmal genauer bei anderer Software zu suchen. Einige populäre Programme unter Windows benutzen Libraries von vor 10 Jahren mit dutzenden Sicherheitslücken. Irgendwelche Komponenten zu updaten wird gerne mal vergessen, solange alles funktioniert. Gab doch erst vor kurzem auch einen Antivirenscanner, der eine uralte zlib ausgeliefert hat.

Ich will jetzt nicht sagen, dass unter GNU/Linux alles so viel besser ist, aber gerade so Sachen wie eine >10 Jahre alte zlib oder ein ungewartetes Node.js wird man bei den großen Distributionen tatsächlich nicht finden.

Denn verstehe ich das Fix nicht was Blaire verlinkt hat. Was wird denn Gefixt, wenn die Version veraltet beibt und somit anfällig ist für Schadsoftware. Verstehe denn Sinn des NVidia Fixes nicht.

Es steht mir leider nicht zu da offiziellen Angaben vorzugreifen. :wink:

Mehr Informationen findest du unter folgenden aktualisierten Link:
https://nvidia.custhelp.com/app/answers/detail/a_id/4459
"NVIDIA GeForce Experience addresses the bypassing of application whitelisting through NVIDIA bundled Node.js"