概要
NVIDIAは、GPUディスプレイドライバーに複数の高 severity (重大度) の脆弱性が存在することを発表し、これに対応するセキュリティアップデートをリリースしました。これらの脆弱性が悪用された場合、攻撃者は悪意のあるコードを実行し、影響を受けるシステムで特権を昇格させる可能性があります。セキュリティ速報は2026年1月27日に公開され、Windows、Linux、仮想化プラットフォームに影響を与える5つの異なる脆弱性に対処しており、CVSSスコアは最大7.8に達しています。
脆弱性の詳細
最も深刻な脆弱性は、NVIDIAのドライバーソフトウェアにおけるメモリ安全性に関する問題です。以下のCVEが特定されています。
- CVE-2025-33217: Windowsディスプレイドライバーにおけるuse-after-freeの脆弱性。コード実行と特権昇格を可能にします。CVSSスコア: 7.8 (高)
- CVE-2025-33218: Windowsカーネルモード層 (nvlddmkm.sys) における整数オーバーフローの脆弱性。コード実行を可能にします。CVSSスコア: 7.8 (高)
- CVE-2025-33219: Linuxカーネルモジュールにおける整数オーバーフローの脆弱性。潜在的なコード実行を可能にします。CVSSスコア: 7.8 (高)
- CVE-2025-33220: vGPU仮想GPUマネージャーにおけるuse-after-freeの脆弱性。ヒープメモリへのアクセスを可能にします。CVSSスコア: 7.8 (高)
- CVE-2025-33237: HDオーディオドライバーにおけるNULLポインターデリファレンスの脆弱性。サービス拒否を引き起こす可能性があります。CVSSスコア: 5.5 (中)
CVE-2025-33217、CVE-2025-33218、CVE-2025-33219、CVE-2025-33220は全て、情報漏洩、データ改ざん、サービス拒否、および特権昇格といった複数の影響を伴います。これらの脆弱性を悪用するには、低レベルの権限を持つローカルアクセスが必要ですが、成功した攻撃はシステムの機密性、完全性、可用性に対して高いレベルの制御を攻撃者に与えます。
影響と対応
影響を受ける製品には、GeForce、NVIDIA RTX、Quadro、NVS、Teslaが含まれます。NVIDIAは、R590、R580、R570、R535の4つの主要ブランチ向けに更新されたドライバーをリリースしました。ユーザーは、速やかに以下の推奨バージョンにアップデートすることが強く推奨されます。
Windowsユーザー向け推奨ドライバーバージョン:
- 591.59
- 582.16
- 573.76
- 539.64
Linuxユーザー向け推奨ドライバーバージョン:
- 590.48.01
- 580.126.09
- 570.211.01
- 535.288.01
これらのアップデートを適用することで、既知の脆弱性からシステムを保護することができます。