NVIDIAは、攻撃者が任意のコードを実行し、権限を昇格させ、システムの整合性を侵害する可能性がある、CUDA Toolkitにおける重大度の高い4件の脆弱性に対処する重要なセキュリティ更新を公開しました。
これらの欠陥は、研究者、エンジニア、データセンター管理者に広く利用されている開発ツールであるNVIDIA Nsight SystemsおよびNsight Visual Studio Editionに影響します。
2026年1月20日に公開されたセキュリティ情報では、NVIDIAのプロファイリングおよびデバッグプラットフォーム全体にわたる、4つの異なるコマンドインジェクションおよびDLL読み込みの脆弱性が詳細に説明されています。
すべての脆弱性はCVSS基本スコアが6.7〜7.3で、高重大度の脅威に分類され、WindowsおよびLinux環境への展開全体にわたって広範な影響を及ぼす可能性があります。
最も重大な欠陥はNVIDIA Nsight Systemsに存在し、攻撃者はgfx_hotspotレシピのprocess_nsys_rep_cli.pyスクリプトに与えられる悪意のある入力文字列を通じてOSコマンドを注入できます。
攻撃が成功すると、攻撃者は権限昇格を伴うコード実行能力を得て、データ窃取、システム改ざん、サービス拒否攻撃を可能にします。
攻撃者はインストールパスを悪意のある形に細工することで、インストール処理中に任意のコマンドを実行でき、ソフトウェアのインストールが完了する前にシステム全体が侵害される可能性があります。
攻撃者は予測可能な場所に悪意のあるDLLファイルを配置でき、アプリケーションがそれを読み込んで、アプリケーション権限で攻撃者が制御するコードを実行してしまう可能性があります。
NVIDIA CUDA Toolkitは、WindowsおよびLinuxの両プラットフォームにおいて、13.1を含むそれ以前のバージョンが影響を受けます。ユーザーは公式のNVIDIA CUDA Toolkit Downloadsページから、直ちにCUDA Toolkit 13.1へ更新してください。
以前のソフトウェアリリースは脆弱なままであるため、管理者はすべてのシステムが最新の修正済みバージョンで稼働していることを確認する必要があります。
これらの脆弱性は、NVIDIAのプロファイリングツールに依存する研究機関、AI開発チーム、データセンター運用者にとって重大なリスクとなります。
ローカルアクセスを持つ攻撃者は権限を昇格させ、機密性の高い学習データ、独自モデル、または機密研究を含むシステムに対して永続的なアクセスを確立する可能性があります。
NVIDIAは、セキュリティ研究者pwniがこれらの脆弱性を責任を持って開示したことに謝意を示しています。組織は、特に機密性の高いワークロードを扱うシステムにおいて、開発環境と本番環境の両方でパッチ適用を優先すべきです。