Faille de sécurité dans les pilotes Nvidia pour Linux

Les modalités d'exploitation d'une faille de sécurité liée aux pilotes propriétaires fournis par Nvidia pour Linux ont été publiés sur le Web. L'auteur de la découverte indique avoir prévenu le fabricant un mois avant ce full disclosure.

De quoi relancer le débat autour des pilotes propriétaires - les fameux BLOBs - à quelques semaines du virulent « Fuck you » de Linus Torvalds ? Un anonyme affirme avoir découvert courant juin l'existence d'une faille de sécurité au sein des pilotes Nvidia pour Linux, susceptible selon lui d'entraîner une élévation de privilèges et donc de permettre à un attaquant d'obtenir les droits complets sur le système cible. La vulnérabilité aurait été signalée au fabricant dans la foulée, sans réponse à ce jour.

L'auteur de la découverte aurait alors demandé à l'un de ses contacts, un ingénieur du nom de Dave Airlie, de publier les modalités complètes d'exploitation de la faille via des listes de diffusion spécialisées. « On m'a livré cela de façon anonyme, ça a été envoyé à Nvidia il y plus d'un mois sans réponse ou consultation, et l'auteur original souhaite rester anonyme mais il voudrait que l'exploit soit publié aujourd'hui, donc je lui ai dit que le le ferais pour lui », indique Dave Airlie.

En 2006, les pilotes propriétaires Nvidia destinés à Linux avaient déjà suscité la controverse après la divulgation par la société Rapid7 des modalités d'exploitation d'une faille de sécurité similaire. Le fabricant avait alors rapidement réagi par l'intermédiaire d'une mise à jour, tout en regrettant la méthode employée pour la médiatisation de cette vulnérabilité.

Mise à jour : un correctif a depuis été distribué, accompagné d'explications techniques.