NVIDIAは2025年12月23日、Isaac Launchableプラットフォーム向けの重要なセキュリティ更新を公開し、未認証の攻撃者がリモートで任意のコードを実行できる可能性がある深刻な脆弱性3件に対処しました。
3件すべての不具合はCVSSスコアが最大の9.8で、重大(Critical)に分類され、影響を受ける組織は直ちに対応する必要があります。
セキュリティ情報では、1.1より前のすべてのプラットフォームおよびバージョンのIsaac Launchableに影響する、3つの異なる脆弱性が詳細に説明されています。
最初の脆弱性(CVE-2025-33222)は、ソフトウェア内に埋め込まれたハードコードされた認証情報の弱点(CWE-798)に起因します。
| CVE ID | 弱点の種類 | CVSSスコア | 深刻度 |
|---|---|---|---|
| CVE-2025-33222 | ハードコードされた認証情報 | 9.8 | 重大 |
| CVE-2025-33223 | 不要な権限での実行 | 9.8 | 重大 |
| CVE-2025-33224 | 不要な権限での実行 | 9.8 | 重大 |
この不具合により、攻撃者は認証メカニズムを回避して正当な認証情報なしに不正なシステムアクセスを得ることができ、さらなる悪意ある活動の足掛かりを確立できます。
残る2つの脆弱性(CVE-2025-33223およびCVE-2025-33224)は、いずれも不要な権限でコードが実行されること(CWE-250)に起因します。
これらの弱点により、攻撃者は昇格したシステム権限で悪意のあるコードを実行でき、標準的なユーザーレベルの操作を超えて潜在的な被害範囲が拡大します。
このような権限昇格の問題は、Isaac Launchableが重要なロボティクスやAIシミュレーション基盤と連携する可能性があるエンタープライズ環境では危険です。
3件すべての脆弱性の攻撃ベクトルはネットワークベースで、複雑性は最小限であるため、攻撃者は物理的なアクセスや複雑な悪用手法なしに遠隔地からこれらの不具合を悪用できます。
ユーザー操作は不要であり、攻撃成功のハードルを大幅に下げます。統一されたCVSSベクター(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)は、機密性・完全性・可用性の各側面において完全な侵害の可能性を示しています。
悪用に成功すると、攻撃者は複数の壊滅的な影響を及ぼす可能性があります。影響を受けるシステム上での不正なコード実行、管理者またはシステムレベルのアクセスへの権限昇格、プラットフォームを利用不能にするサービス拒否攻撃、そしてシミュレーションや基盤となるデータセットを破損させ得るデータ改ざんです。
ロボティクスおよびAI開発の文脈では、これらの能力は知的財産、運用上の安全性、データ完全性に対して重大なリスクをもたらします。
NVIDIAは修正を適用し、セキュリティ通知の直後にリリースされたIsaac Launchableバージョン1.1で3件すべての不具合に対処しました。
同社は、すべてのユーザーに対し、公式GitHubリポジトリから最新バージョンを遅滞なくダウンロードしてインストールするよう推奨しています。
Isaac Launchableを利用している組織は、潜在的な侵入を防ぎシステムセキュリティを維持するため、この更新を優先すべきです。
NVIDIAのAI Red TeamのDaniel Teixeira氏は、これらの脆弱性を報告した功績で謝意を受けており、NVIDIAのセキュリティ態勢を強化するうえで協調的な脆弱性開示が重要であることを示しています。詳細およびパッチのダウンロードは、NVIDIAの製品セキュリティポータルで入手できます。
翻訳元: https://gbhackers.com/nvidia-isaac-vulnerabilities/
