Een ernstig beveiligingslek in de Linux-driver van videochipfabrikant NVIDIA waardoor aanvallers rootrechten konden krijgen, is verholpen. De kwetsbaarheid werd op 20 maart aan NVIDIA gemeld en zorgt ervoor dat aanvallers het systeemgeheugen kunnen lezen en beschrijven, om zo vervolgens rootrechten te krijgen. Om de aanval uit te voeren moet de aanvaller wel toegangsrechten tot sommige bestanden van de videokaart hebben, wat in veel gevallen onvermijdelijk is, aldus NVIDIA.

"De rechten zijn te configureren, maar zelfs op systemen waar de device node permissies zijn beperkt, moeten lees en schrijftoegang worden toegekend aan elke gebruiker die applicaties moet kunnen draaien die GLX direct rendering uitvoeren of de GPU gebruiken om berekeningen via API's zoals CUDA of OpenCL uit te voeren", laat de advisory weten.

Update
Omdat elke gebruikers met lees en schrijftoegang tot de GPU device nodes dit lek kan misbruiken om toegang tot het systeemgeheugen te krijgen, wat normaal niet voor die gebruiker toegankelijk zou zijn, bestempelt NVIDIA dit lek als zeer ernstig. Gebruikers wordt geadviseerd om te updaten naar de 295.40 driver voor Linux, Solaris en FreeBSD. Voor oudere drivers die met 195, 256 t/m 285 of 290 t/m 295 beginnen, is er een patch verschenen.