Deux failles critiques dans les modules GPU NVIDIA pour Linux permettent une Ă©lĂ©vation de privilĂšges (CVEâ2025â23300, CVEâ2025â23280)
Selon Quarkslab (rĂ©fĂ©rence citĂ©e), des chercheurs ont dĂ©taillĂ© deux vulnĂ©rabilitĂ©s critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et prĂ©sentĂ© une chaĂźne dâexploitation complĂšte menant Ă lâĂ©lĂ©vation de privilĂšges; NVIDIA a publiĂ© des correctifs dans la mise Ă jour dâoctobre 2025 des GPU Display Drivers. â ïž â VulnĂ©rabilitĂ©s et impact â CVE-2025-23300: dĂ©rĂ©fĂ©rencement de pointeur nul dans le module nvidia-uvm, dĂ©clenchĂ© lors du mappage dâallocations NV01_MEMORY_DEVICELESS via lâioctl UVM_MAP_EXTERNAL_ALLOCATION, dĂ» Ă un champ pGpu non vĂ©rifiĂ©. CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de donnĂ©es Red-Black tree). Le kernel oops consĂ©cutif libĂšre la pile avant lâexĂ©cution de threadStateFree(), entraĂźnant lâUAF. Impact: obtention de primitives de lecture/Ă©criture noyau et Ă©lĂ©vation de privilĂšges par un attaquant local non privilĂ©giĂ©. â ChaĂźne dâexploitation (aperçu technique) â ...