NVIDIAは、攻撃者が悪意のあるコードを実行し、影響を受けるシステムで権限を昇格できる可能性のある複数の高深刻度の脆弱性を発見したことを受け、GPUディスプレイドライバー向けの重要なセキュリティ更新を公開しました。
2026年1月27日に公開されたセキュリティ情報では、Windows、Linux、および仮想化プラットフォームに影響する5つの異なる脆弱性が取り上げられており、CVSSスコアは最大7.8に達します。
Use-After-Freeと整数オーバーフローの欠陥がコード実行を可能に
最も重大な脆弱性は、複数のプラットフォームにわたるNVIDIAのドライバーソフトウェアにおけるメモリ安全性の問題に関するものです。
| CVE ID | 説明 | CVSSスコア | 深刻度 |
| CVE-2025-33217 | WindowsディスプレイドライバーのUse-after-freeにより、コード実行と権限昇格が可能 | 7.8 | 高 |
| CVE-2025-33218 | Windowsカーネルモード層(nvlddmkm.sys)の整数オーバーフローによりコード実行に至る | 7.8 | 高 |
| CVE-2025-33219 | Linuxカーネルモジュールの整数オーバーフローによりコード実行の可能性 | 7.8 | 高 |
| CVE-2025-33220 | vGPU Virtual GPU ManagerのUse-after-freeにより、解放後のヒープメモリへのアクセスが可能 | 7.8 | 高 |
| CVE-2025-33237 | HD Audio DriverのNULLポインタ参照によりサービス拒否が発生 | 5.5 | 中 |
CVE-2025-33217はWindowsディスプレイドライバーに影響し、攻撃者が悪用できるUse-after-free状態に起因します。これにより、コード実行、権限昇格、データ改ざん、サービス拒否、情報漏えいが可能となります。
追加の2つの欠陥であるCVE-2025-33218およびCVE-2025-33219は、それぞれWindowsカーネルモード層(nvlddmkm.sys)とLinuxカーネルモジュールにおける整数オーバーフローの脆弱性に関するもので、攻撃ベクトルと影響は同一です。
これらの脆弱性の悪用には低レベル権限でのローカルアクセスが必要ですが、攻撃が成功すると、攻撃者は影響を受けるシステムの機密性、完全性、可用性に対して高レベルの制御を得ます。
3つの欠陥はいずれもCVSS v3.1の基本スコアが7.8で同一であり、高深刻度に分類されています。
NVIDIA vGPUソフトウェアにも、Virtual GPU Managerに同様のUse-after-free脆弱性(CVE-2025-33220)が存在し、悪意のあるゲストがメモリ解放後のヒープメモリへのアクセスを引き起こす可能性があります。
NVIDIAは、GeForce、NVIDIA RTX、Quadro、NVS、Tesla製品向けに、4つの主要ブランチ(R590、R580、R570、R535)にわたる更新ドライバーを公開しました。
Windowsユーザーは、ブランチに応じてドライバーバージョン591.59、582.16、573.76、または539.64へアップグレードする必要があります。
Linuxユーザーは、590.48.01、580.126.09、570.211.01、または535.288.01をインストールする必要があります。さらに、NVIDIA HD Audio Driverにおける中深刻度の脆弱性(CVE-2025-33237)は、NULLポインタ参照の悪用によりサービス拒否を引き起こす可能性があります。
翻訳元: https://gbhackers.com/nvidia-gpu-driver-vulnerability/
