NVIDIA Appに複数の脆弱性、Windowsシステムで特権昇格の恐れ

NVIDIAは、同社のNVIDIA Appソフトウェアに複数の重大な脆弱性が存在することを公表しました。これらの脆弱性は、攻撃者がWindowsシステム上で特権を昇格させることを可能にするものです。

2025年9月のアップデートで対処されたこれらの欠陥は、Frameview SDKコンポーネントのインストール中の不適切なファイル処理に起因しています。Windows 10および11でNVIDIA Appを使用しているユーザーは、システムを保護するため、直ちにバージョン11.0.5.245以降をインストールするよう強く推奨されています。

脆弱性の詳細：CVE-2025-23297

主要な脆弱性はCVE-2025-23297として追跡されており、Windows版NVIDIA Installer for NvAPPに存在します。この脆弱性は、Frameview SDKのインストールプロセス中に、権限のないローカルユーザーがFrameview SDKディレクトリ内のファイルを変更できるというものです。

この欠陥を悪用することで、攻撃者は昇格された特権を獲得し、システム全体の侵害につながる可能性があります。

主な詳細事項は以下の通りです。

• 攻撃者は、エクスプロイトを実行するためにローカルの非特権アクセスのみを必要とします。
• ローカルアクセスが確立されれば、ユーザーの操作は不要です。
• 攻撃が成功すると、システムの機密性、完全性、可用性が損なわれる可能性があります。

NVIDIAは、この問題の報告に対し、KAIST Hacking LabのDong-uk Kim氏とJunYoung Park氏に謝意を表しています。

影響を受ける製品とバージョン

このセキュリティアップデートは、Windows上で動作するNVIDIA Appに適用されます。脆弱性の詳細は以下の通りです。

• CVE ID: CVE-2025-23297
• 基本スコア: 7.8
• 深刻度: 高
• 影響: 特権昇格
• 製品: NVIDIA App
• プラットフォーム/OS: Windows 10 / 11
• 影響を受けるバージョン: 11.0.5.245より前のすべてのバージョン
• 更新されたバージョン: 11.0.5.245

緩和策と推奨事項

これらの脆弱性からシステムを保護するためには、以下の対策が推奨されます。

• NVIDIA Appサイトから最新のNVIDIA Appアップデート（バージョン11.0.5.245）をダウンロードし、インストールしてください。
• NVIDIA Appを起動し、「バージョン情報」セクションでバージョンを確認することで、インストールが成功したことを確認してください。
• 今後のアップデート通知を受け取るために、NVIDIA製品セキュリティ速報を購読してください。
• 異常を発見した場合は、NVIDIA製品セキュリティページを通じて報告し、PSIRTチームの迅速な対応を支援してください。

NVIDIAは、CVE-2025-23297を責任を持って開示したKAIST Hacking LabのDong-uk Kim氏とJunYoung Park氏に改めて感謝の意を表しています。