NVIDIAは2025年12月23日、Isaac Launchableプラットフォーム向けの重大なセキュリティ更新を公開し、認証なしの攻撃者がリモートで任意のコードを実行できる可能性がある深刻な脆弱性3件に対処しました。
3件すべての欠陥はCVSSスコアの最大値である9.8を持ち、重大(Critical)に分類されるため、影響を受ける組織では直ちに修正対応を行う必要があります。
これら3つの異なる脆弱性は、1.1より前のすべてのプラットフォームおよびバージョンのIsaac Launchableに影響します。
最初の欠陥であるCVE-2025-33222は、ソフトウェアに埋め込まれたハードコードされた認証情報に起因し、攻撃者が認証を回避して、正当な認証情報なしに不正なシステムアクセスを得られる可能性があります。
残る2つの脆弱性であるCVE-2025-33223およびCVE-2025-33224は、不必要な権限でのコード実行に起因し、攻撃者が昇格したシステム権限で悪意のあるコードを実行できる可能性があります。
3件すべての脆弱性はネットワーク経由の攻撃ベクターを持ち、比較的容易です。ユーザーの操作は不要であり、悪用のハードルが大幅に下がります。
統一されたCVSSベクター(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)は、機密性・完全性・可用性の各観点において、システムが完全に侵害され得ることを示しています。
悪用に成功した場合、攻撃者は影響を受けるシステム上で任意のコードを実行し、管理者またはシステムレベルのアクセスへ権限昇格し、プラットフォームを利用不能にするサービス拒否(DoS)攻撃を仕掛け、データを改ざんしてシミュレーションや基盤となるデータセットを破損させる可能性があります。
ロボティクスおよびAI開発の文脈では、これらの能力は知的財産、運用上の安全性、データの完全性に対して重大なリスクとなります。
同社は、すべてのユーザーに対し、公式GitHubリポジトリから最新バージョンを遅滞なくダウンロードしてインストールするよう推奨しています。
Isaac Launchableを利用している組織は、潜在的な侵入を防ぎ、システムのセキュリティを維持するために、この更新を優先すべきです。
NVIDIAのAI Red TeamのDaniel Teixeira氏は、これらの脆弱性の報告に対して謝意が示されており、NVIDIAのセキュリティ態勢を強化するうえで、協調的な脆弱性開示の重要性が強調されています。
詳細情報およびパッチのダウンロードは、NVIDIAのProduct Securityポータルで入手できます。
翻訳元: https://cyberpress.org/critical-nvidia-isaac-vulnerabilities/