NVIDIA a publié une mise à jour de sécurité urgente pour corriger une vulnérabilité de haute gravité dans son outil NSIGHT Graphics pour les systèmes Linux. La faille, identifiée sous CVE-2025-33206, pourrait permettre aux attaquants d'exécuter du code arbitraire si elle est exploitée. Les utilisateurs affectés sont invités à se mettre à jour immédiatement pour atténuer les risques.
Le 21 janvier 2026, NVIDIA a annoncé un correctif de sécurité critique pour NSIGHT Graphics pour Linux, un outil utilisé dans le développement et les charges de travail graphiques. La vulnérabilité, suivie sous CVE-2025-33206, a un score CVSS de 7.8, la classant comme de haute gravité. Elle provient d'une validation inadéquate des entrées dans le traitement des commandes, spécifiquement sous CWE-78, où les éléments spéciaux dans les commandes du système d'exploitation ne sont pas neutralisés correctement. Cette faille permet aux attaquants disposant d'un accès local au système d'injecter des entrées malveillantes, potentiellement en échappant aux contextes de commande et en exécutant des commandes système arbitraires avec des privilèges élevés. Une exploitation réussie pourrait entraîner l'exécution de code non autorisé, l'escalade de privilèges, la falsification de données ou des attaques par déni de service. Cependant, déclencher la vulnérabilité nécessite à la fois un accès local et une interaction de l'utilisateur, comme inciter un utilisateur à effectuer une action spécifique. Le problème pose des risques significatifs pour la confidentialité, l'intégrité et la disponibilité, en particulier dans les environnements gérant des tâches graphiques et de développement. Toutes les versions de NSIGHT Graphics pour Linux antérieures à 2025.5 sont affectées. NVIDIA recommande de passer à la version 2025.5 ou ultérieure, disponible au téléchargement sur son portail officiel pour développeurs. En attendant, les organisations doivent limiter l'accès local aux systèmes vulnérables et respecter le principe du moindre privilège. Des détails supplémentaires, y compris les bulletins de sécurité et les abonnements aux notifications, sont disponibles sur la page Sécurité des Produits de NVIDIA. Cette mise à jour souligne le besoin continu de correctifs rapides dans les outils de développement logiciel pour se protéger contre les menaces en évolution.
