Critical NVIDIA Vulnerabilities Risk Remote Code Execution and Denial-of-Service Attacks
2026/03/26 gbhackers — NVIDIA が公表した 2026年3月のセキュリティ情報は、同社のハードウェア/ソフトウェアのエコシステムで新たに発見された複数の脆弱性に対処するものだ。NVIDIA が強く推奨するのは、それぞれのユーザー環境の評価と、必要な是正措置の即時の実施により、悪用の可能性を低減させることである。
これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上での任意のコード実行やサービス拒否 (DoS) を引き起こす可能性があるため、深刻なリスクが生じている。
今回特定された最も深刻な脆弱性は、AI ワークフローで広く使用されているエクステンション NVIDIA Apex に影響を及ぼすものだ。この脆弱性 CVE-2025-33244 (Critical) は、セキュリティ情報 5782 として公開されており、セキュリティ・チームによる優先的な対応が求められる。
さらに、NVIDIA の機械学習インフラの以下のコンポーネントにおいても、深刻度 High の複数の脆弱性が確認/修正されている。
Triton Inference Server/Model Optimizer/NeMo Framework/Megatron LM
加えて、以下の製品群では、深刻度 Medium の脆弱性が修正された。
NVIDIA VIRTIO-Net/SNAP4/B300 MCU
March 2026 NVIDIA セキュリティ速報
管理者にとって必要なことは、これらの脆弱性に対処するため、指定されたドライバー/ソフトウェアのパッケージに対して、優先的にアップデートを適用することである。
NVIDIA が強く推進しているのは Coordinated Vulnerability Disclosure という仕組みである。それにより、独立した研究者が脆弱性を非公開で報告し、一般に公開する前に修正を可能にするプロセスが実現される。脆弱性の報告を受けた NVIDIA は、分析/検証/修正に必要なリソースを投入し、問題への対応を行う。また、標準化されたスコアリング・フレームワークを用いてリスク評価を実施し、IT 管理者によるパッチ適用およびインシデント・レスポンス戦略の優先順位付けを支援している。
さらに、脆弱性の管理において高まっている、自動化への需要に対応するため、セキュリティ・アドバイザリの配信体制を刷新している。2025年10月1日以降において、NVIDIA Product Security Incident Response Team (PSIRT) は専用の GitHub リポジトリでセキュリティ情報を公開している。この仕組みにより、以下の形式での情報提供が可能となっている。
Markdown:人間可読形式/CSAF:機械可読形式/CVE ファイル:標準フォーマット
従来の Product Security Web サイトと GitHub リポジトリは並行して運用されるため、継続的なアクセスが保証されている。初回の公開および重要な更新を迅速に把握するため、NVIDIA はユーザーに対して、メール通知のサブスクリプションを推奨している。
訳者後書:今回の NVIDIA のセキュリティ更新は、AI 開発に欠かせない NVIDIA Apex などのライブラリに存在する、深刻な脆弱性を修正するものです。その中で最も深刻な脆弱性 CVE-2025-33244 は、特定のデータを読み込む際の処理の不備により、外部からの不正なプログラム操作を許してしまうものです。数多くの技術者が利用する、Triton Inference Server や NeMo Framework などのインフラ部分が影響を受けるため、迅速な対応が推奨されています。ご利用のチームは、ご注意ください。よろしければ、NVIDIA での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.