NVIDIA Linux驱动存在bug

tootoo

来自Rapid7的安全研究人员近日发表报告称，NVIDIA的Linux系统驱动程序有一个存在了很久的严重缺陷，属于缓冲溢出型，可导致攻击者诱惑用户访问恶意网站，然后嵌入恶意代码，进而在本地或远程执行。Rapid7也已经写出了概念验证型利用代码。

据称，v8774和v8762两个版本的NVIDIA Linux驱动都存在此bug，用于FreeBSD和Solaris的NVIDIA驱动也可能会受到影响，早期的闭源驱动同样如此。

NVIDIA的Linux驱动有两个版本，其一是闭源的二进制版，存在上述bug，其二是开源驱动，没有缺陷。闭源驱动提供了开源驱动所没有的加速功能，但bug也正是由此而来：文本特征数据加速渲染中的一个缺陷可能会导致驱动程序崩溃，随后，任意代码都可写入内存并执行。

Rapid7表示，在过去的两年中，NVNews论坛等很多地方都指出NVIDIA闭源Linux驱动存在问题，而NVIDIA虽然在今年7月就公开通告了这一问题，但没有采取修正措施，因此Rapid7写出了利用代码，以敦促NVIDIA尽快修复bug。

不过据反应，NVIDIA上月底发布的1.0-9625测试版Linux驱动已经不受上述问题影响