 NVIDIA vient de révéler l'existence d'une faille de sécurité dans ses drivers graphiques qui peut être exploitée par une personne mal intentionnée pour prendre le contrôle d'un PC.
NVIDIA explique que cette faille n'est pas exploitable directement (à distance) mais que le pirate doit préalablement installer (ou faire installer par l'utilisateur lui-même) un logiciel malveillant sur la machine. Ce logiciel, qui est exécuté dans l'espace utilisateur, peut alors exploiter la vulnérabilité des drivers graphiques pour communiquer avec le GPU et bénéficier d'une elévation de privilèges et donc d'un accès total au système.
Cette faille de sécurité touche aussi bien les GPU desktop et mobile grand public GeForce que les GPU professionnels Quadro et concerne les systèmes Windows mais aussi les systèmes Unix/Linux. L'intégralité des révisions des drivers graphiques NVIDIA seraient concernés par ailleurs. Bref, ce sont probablement des centaines de millions de PC à travers le monde qui sont potentiellement piratables.
NVIDIA tempère toutefois la portée de cette vulnérabilité puisqu'elle nécessite l'installation de cet outil logiciel malveillant dont la mise au point demande d'importantes connaissances en programmation de GPU. Ne doutons cela dit pas des compétences des pirates lorsqu'il s'agit de mettre au point de nouvelles méthodes d'intrusion dans un système informatique !
Selon NVIDIA, aucun exploit de cette faille n'aurait encore été observé mais le constructeur recommande tout de même vivement de prendre garde aux fichiers que l'on télécharge depuis une source non sûre mais aussi d'utiliser un antivirus, un anti-malwares, un pare-feu à jour et enfin de mettre à jour l'ensemble de ses logiciels et drivers.
Cette faille, numérotée CVE-2013-5987, a été découverte et signalée à NVIDIA par Marcin Koscielnicki qui collabore à la X.Org Foundation sur le projet Nouveau visant justement à proposer un pilote Linux libre et de bonne qualité pour les cartes graphiques NVIDIA (xf86-video-nouveau).
Le correctif déjà présent dans les derniers drivers
Si vous utilisez encore pour votre GPU une vieille version des drivers GeForce ou Quadro, par oubli, par "négligence" ou parce que les nouvelles versions ne vous donnent pas satisfaction (les membres du forum se reconnaîtront), cette faille de sécurité sera donc l'occasion de réaliser la mise à jour vers la dernière version disponible.
Puisqu'en effet, si cette faille vient seulement d'être dévoilée publiquement, NVIDIA a déjà mis au point un correctif depuis plusieurs semaines et l'a déjà intégré dans les drivers graphiques pour Windows depuis leur version 331.65 WHQL du 28 octobre dernier. Ce correctif est également inclus dans les versions suivantes 331.82 WHQL et 331.93 beta. Pour ce qui est des systèmes Unix, le correctif a été intégré dans la dernière version 331.20 du 6 novembre 2013.
Malgré ce qui est affirmé sur son site web (voir l'image ci-contre), pour les GPU GeForce NVIDIA a visiblement estimé que seule la dernière branche R331 méritait une mise à jour intégrant ce patch de sécurité. En revanche, pour les professionnels (GPU Quadro) ainsi que pour les systèmes Unix qui utilisent rarement les derniers drivers du moment, NVIDIA a également actualisé les branches plus anciennes R325, R319, R310 et R304.
A noter que les GPU GeForce 6 (NV4x) et GeForce 7 (G7x) ne sont pas touchés par cette faille de sécurité. NVIDIA n'a donc pas mis à jour leurs drivers Legacy R304.
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
24/04/24 Pioneer DJ DJM-A9 1.04
24/04/24 Microsoft Surface Laptop 5 22621 24.040.1348.0 WHQL
24/04/24 Mevo Wireless Camera 0.8.4.17.1 bêta
24/04/24 HKG GK HE Series 1.0.0.10
24/04/24 Hercules HSM Series/Stream Control 1.HSM.2024/1.3.4 WHQL
;)
lol. Il est clair qu'il vaut mieux garder les pilotes qui marchent le mieux pour le moment, les failles dans les pilotes ne datent pas d'aujourd'hui, juste qu'Nvidia est un peu à la traine pour annoncer ce genre de chose.