Une note annonçant que les pilotes graphiques de NVIDIA pour Linux contiennent une faille de sécurité a été publiée par la firme de sécurité Rapid7, LLC Security Advisory. De plus, il semblerait que NVIDIA tarde à corriger cette vulnérabilité.

Une faille pas toute jeune

Cette faille, typée "buffer overflow", permettrait à une personne ayant de mauvaises intentions de lancer un code arbitraire à distance en tant que "root".

Visiblement, cette vulnérabilité que l’on retrouve dans les pilotes Linux v8762 et v8774 n’est pas récente. En effet, d’après Rapid7 celle-ci daterait de 2004. Certains forums en parlaient déjà à cette époque, notamment celui de NVnews. Néanmoins, la firme californienne en a reconnu l’existence qu’en juillet dernier. De ce fait, un technicien de NVIDIA avait précisé sur le forum de NVnews que l’ID No 239065 estampillait désormais ce problème et qu’un correctif devrait être publié très prochainement.

En attendant, une seule solution ... peu satisfaisante

Dans l’état actuel des choses, aucun correctif n’a vu le jour et les pilotes NVIDIA en question sont toujours autant vulnérables. De plus, cette faille pourrait toucher les pilotes FreeBSD et Solaris. À cet effet, Rapid7 juge que ces drivers sont porteurs d’un risque inacceptable pour la sécurité.

En attendant la sortie d’un éventuel correctif, Rapid7 conseille de désactiver le pilote propriétaire de NVIDIA et d’utiliser le pilote "NV" Open Source intégré par défaut à X. Hélas, contrairement aux pilotes graphiques propriétaires de NVIDIA, le pilote Linux Open Source ne prend pas en charge l’accélération 3D des GPU.