Компания NVIDIA выпустила срочные обновления безопасности для своей платформы Isaac Launchable 23 декабря 2025 года. Эти исправления устраняют три критические уязвимости, которые позволяют неаутентифицированным злоумышленникам выполнять произвольный код удалённо. Каждой из этих брешей присвоен максимальный балл 9,8 по шкале CVSS, что классифицирует их как критические и требует немедленного внимания со стороны затронутых организаций.
Детали уязвимостей
Согласно официальному бюллетеню безопасности, все три недостатка затрагивают Isaac Launchable на всех платформах в версиях ранее 1.1. Первая уязвимость, получившая идентификатор CVE-2025-33222, коренится в слабости типа CWE-798, связанной с использованием жёстко заданных учётных данных в коде программного обеспечения. Эта брешь позволяет атакующим обходить механизмы аутентификации и получать несанкционированный доступ к системе без легитимных учётных данных, создавая плацдарм для дальнейших вредоносных действий.
Оставшие две уязвимости, CVE-2025-33223 и CVE-2025-33224, также имеют критический статус. Обе являются следствием выполнения кода с избыточными привилегиями (CWE-250). Эти недостатки позволяют злоумышленникам запускать вредоносный код с повышенными системными разрешениями. В результате потенциальный ущерб выходит за рамки операций уровня обычного пользователя. Проблемы эскалации привилегий особенно опасны в корпоративных средах, где Isaac Launchable может взаимодействовать с критически важной инфраструктурой для робототехники или ИИ-симуляций.
Важно отметить, что векторы атаки для всех трёх уязвимостей являются сетевыми и требуют минимальной сложности для эксплуатации. Следовательно, злоумышленники могут использовать эти бреши из удалённых мест, не нуждаясь в физическом доступе или сложных методах эксплуатации. Более того, для успешной атаки не требуется взаимодействие с пользователем, что значительно снижает порог для потенциальных инцидентов.
Единый вектор CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) указывает на высокий потенциал полного компрометации системы. Успешная эксплуатация может позволить атакующим достичь нескольких разрушительных последствий. В их число входит несанкционированное выполнение кода на затронутых системах и эскалация привилегий до уровня администратора или системы. Кроме того, возможны атаки типа «отказ в обслуживании», которые делают платформу недоступной, а также манипулирование данными, способное повредить симуляции или базовые наборы данных. В контексте разработки робототехники и искусственного интеллекта такие возможности представляют существенные риски для интеллектуальной собственности, операционной безопасности и целостности данных.
NVIDIA устранила все три недостатка в версии Isaac Launchable 1.1, выпущенной сразу после публикации уведомления о безопасности. Компания настоятельно рекомендует всем пользователям без задержки загрузить и установить последнюю версию с официального репозитория GitHub. Организациям, использующим Isaac Launchable, следует расставить приоритеты в пользу этого обновления, чтобы предотвратить потенциальные вторжения и сохранить безопасность систем.
Сообщается, что данные уязвимости были обнаружены Дэниелом Тейшейрой из Red Team NVIDIA по направлению ИИ. Этот случай демонстрирует важность скоординированного раскрытия информации об уязвимостях для усиления защищённости продуктов компании. Полные подробности и загрузки исправлений доступны на портале безопасности продуктов NVIDIA.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-33222
- https://www.cve.org/CVERecord?id=CVE-2025-33223
- https://www.cve.org/CVERecord?id=CVE-2025-33224
- https://nvidia.custhelp.com/app/answers/detail/a_id/5749
