セキュリティ

SECURITY

公開：2024-10-24

【CVE-2024-7993】オートデスクRevit 2024-2025に境界外書き込みの脆弱性、情報取得やDoS攻撃のリスクも

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• オートデスクRevitで境界外書き込みの脆弱性が発見
• CVSS基本値7.8の重要な脆弱性として評価
• 情報取得やDoS攻撃のリスクが指摘

オートデスクRevit 2024-2025の脆弱性

オートデスク株式会社は、同社の建築設計ソフトウェアRevitにおいて境界外書き込みに関する重要な脆弱性を2024年10月16日に公開した。この脆弱性は【CVE-2024-7993】として識別されており、Revit 2024の2024.2.2未満のバージョンおよびRevit 2025の2025.3未満のバージョンに影響を及ぼすことが判明している。^[1]

NVDの評価によると、攻撃元区分はローカルで攻撃条件の複雑さは低く、特権レベルは不要だが利用者の関与が必要とされている。CVSSスコアは7.8と高い値を示しており、機密性への影響や完全性への影響、可用性への影響がいずれも高いレベルで評価されている。

この脆弱性により、攻撃者は情報の取得や改ざん、さらにはサービス運用妨害状態を引き起こす可能性がある。ベンダーは対策としてアドバイザリやパッチ情報を公開しており、影響を受けるバージョンのユーザーに対して迅速な対応を推奨している。

Revitの脆弱性詳細

境界外書き込みについて

境界外書き込みとは、プログラムが割り当てられたメモリ領域の範囲を超えてデータを書き込む脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• バッファオーバーフローを引き起こす可能性がある
• システムクラッシュや任意コード実行のリスクがある
• メモリ破壊によるデータ損失の危険性がある

境界外書き込みの脆弱性はCWE-787として分類されており、この種の脆弱性はシステムの安定性や安全性に重大な影響を及ぼす可能性がある。RevitにおけるCVE-2024-7993の脆弱性も境界外書き込みに分類され、情報セキュリティの観点から迅速な対応が必要とされている。

Revitの脆弱性に関する考察

オートデスクRevitの脆弱性は、建築設計業界に広く使用されているソフトウェアであることから、その影響は非常に大きなものとなる可能性がある。特に攻撃条件の複雑さが低く、特権も不要という点は、攻撃の敷居を下げる要因となっており、早急なパッチ適用の必要性を示している。

今後の課題として、脆弱性の検知と修正のプロセスをより効率化することが挙げられる。特にビルディング情報モデリング（BIM）ツールにおいては、データの整合性とセキュリティの両立が重要となるため、継続的なセキュリティ監視とアップデート体制の強化が求められるだろう。

また、建築設計プロジェクトにおけるデータ保護の重要性を考えると、今後はゼロトラストセキュリティの導入やアクセス制御の厳格化なども検討する必要がある。セキュリティ機能の強化と使いやすさの両立が、今後のRevit開発における重要な課題となるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-010823 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010823.html, (参照 24-10-24).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧