NVidia的私有Linux驱动被发现存在权限提升漏洞,允许攻击者获得超级用户权限。漏洞是黑客Dave Airlie公开的,他是一位匿名者那里获知了漏洞,验证确实有效,这位匿名用户一个多月前就通知了NVidia,但至今没有收到反馈,因此希望公开漏洞。
消息来源: Solidot
另:LinuxTOY的报道(消息来源)
一段针对使用 NVIDIA 二进制驱动的恶意代码允许攻击者获得目标系统的 root 访问权限。
David Airlie 近日在邮件列表上公布了一段 760 行的代码。若在使用 NVIDIA 二进制驱动(包括最新版本)的系统上执行编译自该段代码的二进制文件,将会在很短的时间发生内存溢出情况,之后将通过向内核内存部分写入状态来提升权限获得 root 访问权限。
David 表示他从匿名作者那里受到这段代码,并且已经按照作者意向在一个月前转发给 NVIDIA,但是并未受到任何回复,NVIDIA 也未公告发布任何安全警告。于是该匿名作者决定在现在向公众发布此代码。
鉴于 NVIDIA 的显卡在朝内 Linux 用户群体中十分受欢迎,再次特别提醒诸位 N 卡 Linux 用户:
- 开启诸如 SELinux 之类的强制访问控制系统。
- 从可靠的来源下载源代码,不要轻易编译和运行未知来源的文件。
- 如果是 Optimus 双显卡的话可以暂时禁止独立 NVIDIA 显卡并转而使用 Intel 集显开源驱动。