Nvidiaは、影響を受けるシステム上で攻撃者が任意のコードを実行し、権限を昇格できる可能性がある、GPUディスプレイドライバースタックにおける複数の高深刻度の脆弱性に対処するためのセキュリティアップデートを公開しました。
これらの問題はWindowsとLinuxの両環境に影響し、Nvidiaの仮想化およびクラウドゲーミングプラットフォームにも及びます。
いずれかの脆弱性の悪用に成功すると、「…コード実行、権限昇格、データ改ざん、サービス拒否、情報漏えい」につながる可能性があると、Nvidiaはセキュリティアドバイザリで述べています。
Nvidia GPUドライバーの欠陥の詳細
これらの脆弱性は、コンシューマー、エンタープライズ、クラウド環境に広く展開されているGeForce、RTX、Quadro、NVS、Teslaの各製品ラインを含む、幅広いNvidia製GPUに影響します。
GPUドライバーはカーネルレベルで動作するため、悪用に成功すると攻撃者に深いシステムアクセスを与える可能性があります。
AIおよび機械学習、仮想化、エンジニアリング、クラウドゲーミングなど、GPU対応ワークロードに依存する組織は、インフラにおけるGPUの重要な役割ゆえにリスクが高まります。
開示の中核にあるのは複数のメモリ安全性の問題で、具体的にはuse-after-freeと整数オーバーフローの脆弱性です。
CVE-2025-33217
Windowsシステムでは、CVE-2025-33217がNvidia Display Driverに影響し、ローカル攻撃者がuse-after-free状態を引き起こせる可能性があります。
悪用に成功した場合、この欠陥により任意コード実行、権限昇格、データ操作、サービス拒否状態、または機微情報の漏えいが可能になるおそれがあります。
この脆弱性のCVSSスコアは7.8で、悪用に必要な権限は低レベルのみです。
CVE-2025-33218
2つ目の高深刻度のWindowsの欠陥であるCVE-2025-33218は、カーネルモードドライバーコンポーネントnvlddmkm.sysに存在します。
この脆弱性は、ローカル攻撃者によって引き起こされ得る整数オーバーフロー状態に起因します。
CVE-2025-33217と同様に、悪用に成功するとコード実行と権限昇格に加え、データ改ざん、システム不安定化、または情報漏えいが可能になるおそれがあります。
この脆弱性もCVSSスコアは7.8で、攻撃の複雑性も同じく低いとされています。
CVE-2025-33219
別の脆弱性であるCVE-2025-33219は、Linuxプラットフォーム上のNvidiaカーネルモジュールに影響し、整数オーバーフローまたはラップアラウンドの欠陥を含みます。
悪用により、攻撃者がより高い権限レベルでコードを実行したり、システムの可用性を妨害したり、保護されたデータにアクセスしたりする可能性があります。
この脆弱性はR590、R580、R570、R535を含む複数のLinuxドライバーブランチにまたがり、幅広いエンタープライズおよびクラウド展開がリスクにさらされます。この欠陥のCVSSスコアも同じく7.8です。
CVE-2025-33220
CVE-2025-33220はNvidiaのVirtual GPU Managerに影響し、悪意あるゲスト仮想マシンが隔離を突破して基盤となるハイパーバイザーを侵害し得るシナリオをもたらします。
このuse-after-free脆弱性は、VMware vSphere、XenServer、Red Hat Enterprise Linux KVM、Ubuntuベースの展開などのエンタープライズ仮想化プラットフォームに影響します。
仮想化コンポーネントを共有しているため、Nvidiaのクラウドゲーミングプラットフォームも影響を受けます。
開示時点でNvidiaは、進行中の悪用は把握しておらず、一般に入手可能な概念実証(PoC)コードも確認していないと述べました。
Nvidia GPU脆弱性によるリスクの低減
パッチ適用は引き続き不可欠ですが、追加の対策により露出を減らし、悪用の可能性に対する可視性を高め、影響を抑えることができます。
- 影響を受けるすべてのWindows、Linux、vGPU、クラウドゲーミング環境に対して、公式のNvidia配布ポータルを用いて最新のパッチを適用する。
- 監視により、異常なGPUドライバーの挙動、カーネルレベルのクラッシュ、予期しない権限昇格、悪用の試みを示唆するVMからホストへのアクティビティを検知する。
- 最小権限アクセスを徹底し、GPU対応システム(特に共有ワークステーション、サーバー、リモートアクセス環境)におけるローカルユーザー権限を制限する。
- エクスプロイト緩和機能、攻撃面削減ルール、強制アクセス制御を有効化することで、カーネルおよびエンドポイント保護を強化する。
- 共有GPU密度を下げ、信頼できないワークロードを分離し、ハイパーバイザーのセキュリティ制御を強化することで、仮想化およびvGPU環境での分離を改善する。
- 加速を必要としないシステムではGPUアクセスを一時的に制限または無効化し、パッチ展開中の露出した攻撃面を減らす。
- チームがカーネルレベルまたは仮想化ベースの侵害シナリオを迅速に検知・封じ込め・復旧できるよう、インシデント対応計画を検証し、定期的にテストする。
これらの対策を組み合わせることで、組織はGPUドライバー悪用の潜在的な影響範囲(ブラスト半径)を抑えつつ、将来のカーネルレベルおよび仮想化ベースの脅威に対する全体的なレジリエンスを強化できます。
GPUドライバーは今や中核的なセキュリティリスク
Nvidia GPUドライバーの脆弱性は、グラフィックスドライバーがエンタープライズの中核インフラにどれほど不可欠になっているか、そして他のカーネルレベルコンポーネントと同等の注意が必要である理由を浮き彫りにしています。
能動的な悪用の証拠がなくても、攻撃の複雑性が低いことと重大な影響の可能性が組み合わさることで、迅速なパッチ適用と多層的なセキュリティ対策が重要な優先事項となります。
これらのリスクは、侵害を前提とし、環境のあらゆる層でアクセスと影響を制限するゼロトラストのようなセキュリティモデルの価値を改めて示しています。
