Multiple NVIDIA Flaws Allow Attackers to Escalate Privileges on Systems
2025/10/01 gbhackers — NVIDIA が発表したのは、NVIDIA App ソフトウェアに存在する、深刻な脆弱性に関するセキュリティ情報である。この脆弱性を悪用する攻撃者は、Windows システム上での権限昇格を可能にする。2025年9月のアップデートで修正された脆弱性 CVE-2025-23297 は、Frameview SDK コンポーネントのインストール中の不適切なファイル処理に起因する。Windows 10/11 で NVIDIA App を利用しているユーザーに対して強く推奨されるのは、バージョン 11.0.5.245 以降へ向けて速やかにアップデートし、システムを保護することだ。
脆弱性の概要
この脆弱性 CVE-2025-23297 は、Windows 上の NVIDIA App インストーラーに存在する。Frameview SDK のインストール・プロセス中に、権限のないローカル・ユーザーに対して、Frameview SDK ディレクトリ内のファイル変更が許されるという。この脆弱性の悪用に成功した攻撃者は、権限を昇格させ、システム全体を侵害する可能性を得る。
- このエクスプロイトを実行する攻撃者が必要とするのは、ローカルの非特権アクセスのみである。
- ローカル・アクセスが確立されると、ユーザーによる操作は不要になる。
- 攻撃が成功すると、システムの機密性/整合性/可用性が侵害される可能性がある。
この問題を報告した KAIST Hacking Lab の Dong-uk Kim と JunYoung Park に対して、NVIDIA は謝意を示している。
| CVE ID | Base Score | Severity | Impact |
| CVE-2025-23297 | 7.8 | High | Escalation of privileges |
このセキュリティ・アップデートは、Windows 上で実行されている NVIDIA アプリに適用されるものだ。
| CVE IDs | Addressed Product | Platform / OS | Affected Versions | Updated Version |
| CVE-2025-23297 | NVIDIA App | Windows 10 / 11 | All versions prior to 11.0.5.245 | 11.0.5.245 |
緩和策と推奨事項
これらの脆弱性からシステムを保護するためには、以下の手順に従う必要がある。
- NVIDIA アプリ・サイトから最新の NVIDIA アプリ・アップデート 11.0.5.245 をダウンロードしてインストールする。
- NVIDIA アプリを起動し、”About” セクションでバージョンを確認し、インストールの成功を確認する。
- 今後のアップデートに関する通知を受け取るためは、NVIDIA 製品のセキュリティ速報をサブスクリプションする。
- PSIRT チームの迅速な対応を支援するため、異常を発見したら NVIDIA 製品セキュリティ・ページから報告する。
NVIDIA App のインストーラー処理における不適切なファイル操作が原因となり、Frameview SDK 配下のファイルを書き換えが可能になる脆弱性が修正されました。その結果として、ローカル・アクセスを持つ攻撃者に対して、権限昇格が許される可能性があると、この記事は指摘しています。よろしければ、NVIDIA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.