Accueil » Actualité » Faille de sécurité dans les pilotes linux de Nvidia

Faille de sécurité dans les pilotes linux de Nvidia

La firme de sécurité Rapid7, LLC Security Advisory, a publié une note signalant que les pilotes graphiques de NVIDIA pour Linux contiennent une faille de sécurité que la firme californienne tarde à combler.

Une faille de type Buffer Overflow

De type « buffer overflow », cette faille permettrait à un hacker de lancer un code arbitraire en tant que root. Ce bug, précise Rapid7 est exploitable localement ou à distance (via un client X à distance ou un client X visitant une page Web « malicieuse »).

Un bug présent depuis 2004

Cette faille présente dans les pilotes Linux v8762 et v8774 ne date pas d’hier si l’on croit Rapid7. Elle aurait été rapportée sur plusieurs forums dont celui de NVnews dès 2004, mais NVIDIA n’a publiquement admis l’existence de ce bug qu’en juillet dernier. Un employé de la firme californienne était intervenu sur le forum de Nvnews pour indiquer qu’il avait réussi à reproduire le problème et lui avait assigné l’ID No 239065 en promettant qu’un correctif serait prochainement publié.

Une seule solution, non satisfaisante

A ce jour, les pilotes Linux de NVIDIA contiennent toujours cette vulnérabilité qui pourrait également toucher les pilotes FreeBSD et Solaris. Se basant sur de nombreux témoignages publiés sur des forums publics, Rapid7 considère que ces pilotes font courir un risque inacceptable pour la sécurité.

En attendant la sortie d’un éventuel correctif, Rapid7 conseille de désactiver le pilote propriétaire de NVIDIA et d’utiliser le pilotes « NV » open source intégré par défaut à X. Hélas, contrairement aux pilotes graphiques propriétaires de NVIDIA, le pilote linux Open Source ne prend pas en charge l’accélération 3D des GPU.