NVIDIA、WindowsおよびLinux向けGPUドライバの深刻な脆弱性を修正

NVIDIAは、WindowsおよびLinux向けのGPUドライバにおける深刻な脆弱性に対応するため、緊急のセキュリティアップデートを公開した。

これらの脆弱性は、コード実行や権限昇格、情報漏洩、データ改ざんなど、複数の危険な攻撃手段を許容する可能性がある。

対象となる製品には、GeForce、NVIDIA RTX、Quadro、Teslaなどが含まれ、ユーザーは速やかなアップデートを求められている。

NVIDIAが公開したセキュリティアップデートの内容
影響を受ける製品と脆弱性の詳細
早急なアップデート適用の重要性
vGPUソフトウェアに見つかった追加の脆弱性

NVIDIAが公開したセキュリティアップデートの内容

NVIDIAは、WindowsおよびLinux向けのGPUドライバに存在する複数の深刻な脆弱性に対処するため、緊急のセキュリティアップデートをリリースした。修正対象は、少なくとも8つの高リスク脆弱性であり、これらは攻撃者に対してシステムへの不正なアクセスを許す可能性がある。具体的には、コード実行、権限昇格、サービス拒否、情報漏洩、データ改ざんなどの攻撃が想定されている。

今回のアップデートは、NVIDIAのグラフィックスドライバに関連するものであり、特にWindows向けには5つの脆弱性が修正されている。これらの脆弱性は、システムのメモリ範囲外のデータを読み取る「アウト・オブ・バウンズ読み取り」として分類され、悪意あるユーザーによって悪用されるとシステムの機密情報が流出する危険がある。NVIDIAはこれらの問題をCVE-2024-0117からCVE-2024-0121として追跡している。

さらに、LinuxとWindowsの両方に影響を与える追加の脆弱性も存在しており、特権を持つ攻撃者が権限をさらにエスカレートさせる可能性がある。これにより、システム全体が不正なアクセスを受け、さらなるリスクにさらされる恐れがある。

影響を受ける製品と脆弱性の詳細

今回のセキュリティアップデートで修正された脆弱性は、NVIDIAの主要な製品ラインに影響を及ぼしている。GeForce、NVIDIA RTX、Quadro、Teslaなどの製品が対象となっており、これらは主にR565、R560、R555、R550、R535といったドライバのバージョンで修正が提供されている。

Windowsドライバでは、主に5つの脆弱性が修正されており、これらはアウト・オブ・バウンズ読み取りの問題に起因している。これにより、権限を持たないユーザーでもメモリ内の範囲外のデータにアクセスし、不正な操作を行える可能性がある。加えて、LinuxおよびWindowsの両方で発見された脆弱性（CVE-2024-0126）は、特権ユーザーによる権限昇格を可能にするものであり、これも同様に深刻な影響をもたらす。

また、これらの脆弱性に対処するため、NVIDIAは古いドライババージョンにも影響がある可能性があることを明らかにしており、ユーザーに対して最新のバージョンに更新するよう強く推奨している。更新しない場合、これらの脆弱性が悪用され、重大な被害を受けるリスクが高まるため、アップデートは早急に実施する必要がある。

早急なアップデート適用の重要性

NVIDIAは、今回の脆弱性に対するセキュリティアップデートを迅速に適用することを強く推奨している。特に、高リスクに分類される脆弱性が複数存在しており、それらが悪用されるとシステムに重大な影響を及ぼす可能性があるためである。

これらの脆弱性は、悪意ある攻撃者によってコード実行や権限昇格といった手段で利用され、システム全体の制御が奪われる恐れがある。最悪の場合、情報漏洩やデータ改ざん、さらにはシステム全体のサービス停止に至る可能性も考えられる。こうしたリスクを未然に防ぐためにも、NVIDIAが提供する最新のアップデートを適用することが不可欠である。

アップデートを怠ると、システムが脆弱な状態にさらされ続け、標的型攻撃の格好のターゲットとなる可能性が高まる。特に企業環境においては、これらの脆弱性を放置することは大きなセキュリティリスクとなりうる。NVIDIAは、これまでにも製品のセキュリティ改善に積極的に取り組んでおり、今回のアップデートもその一環として重要な役割を果たしている。

vGPUソフトウェアに見つかった追加の脆弱性

NVIDIAは、vGPU（仮想GPU）ソフトウェアにも2つの新たな脆弱性を発見し、それらを修正するためのアップデートを提供している。これらの脆弱性は、仮想環境において特に深刻な影響を及ぼす可能性があり、ユーザーには早急な対応が求められている。

1つ目の脆弱性（CVE-2024-0127）は、vGPUマネージャのGPUカーネルドライバに存在し、ゲストOSのカーネルを侵害することで不正な入力検証を行わせることが可能となる。この脆弱性により、コード実行やサービス拒否、さらには情報漏洩が発生するリスクがある。2つ目の脆弱性（CVE-2024-0128）は、vGPUマネージャ自体に存在し、ゲストOSのユーザーがシステムのグローバルリソースにアクセスできるという問題を引き起こす。

NVIDIAは、これらの脆弱性に対応するパッチをvGPUソフトウェアのバージョン17.4および16.8で提供しており、これらのバージョンを使用することで、脆弱性の影響を最小限に抑えることができる。また、NVIDIAのクラウドゲーミングソフトウェアにも同様の修正が含まれており、ユーザーは最新のソフトウェアを導入することで、リスクを軽減できるようになっている。