Nvidia warnt vor einer hoch kritischen Sicherheitslücke (CVE-2012-0946), welche sich im Treiber für Linux / Unix befindet. Bereits am 20. März 2012 wurde die Schwachstelle privat an Nvidia gemeldet. So könnte sich ein möglicher Angreifer mit Hilfe der Sicherheitslücke Lese- /Schreibzugriff auf die GPU verschaffen, und so auch Zugriff auf den Arbeitsspeicher verschaffen.
Derzeit ist allerdings kein Fall bekannt, in welchem die Sicherheitslücke aktiv ausgenutzt wurde.
Die Standard Rechte auf den GPU Device Node erlauben allen Usern den Lese-/ Schreibzugriff. Diese Rechte könnte man auch konfigurieren. Allerdings werden sie von Anwendern benötigt, wenn eine Anwendung GLX Direct Rendering nutzt.
Wie oben schon geschrieben, stuft Nvidia die Lücke als hoch kritisch ein. Für Arch Linux ist das Update bereits gestern über „pacman -Syu“ gekommen. Man kann damit rechnen, dass alle großen Distros in den nächsten Tagen ein Update bringen werden. Wer jetzt nicht warten möchte, kann sich auch auf der Nvidia Seite den neuen Treiber runterladen. Diesen gibt es für Unix, Linux, FreeBSD, und Solaris. Allerdings wird dafür etwas Erfahrung vorausgesetzt. Weshalb es für Anfänger vielleicht einfacher ist, auf das Update der Repos zu warten. Für alle, die einen älteren Treiber (Karten unterhalb GeForce 8) nutzen, gibt es hier eine Anleitung, wie man die Sicherheitslücke schließt.
Meine persönliche Meinung zu Schluss. Finde es schon etwas erschreckend, und es zeigt auch wieder, dass wir Linux User uns nicht zu sicher wägen sollen.
