セキュリティ

SECURITY

公開：2024-11-06

【CVE-2024-8588】AutoCAD 2025.1にSLDPRTファイル解析の脆弱性、範囲外読み取りによる深刻な影響の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCAD SLDPRTファイルに危険な脆弱性を発見
• 範囲外読み取りの悪用でコード実行の可能性
• CVSSスコア7.8でHIGHレベルの深刻度を判定

Autodesk AutoCAD 2025.1の脆弱性

Autodeskは2024年10月29日、AutoCADのSLDPRTファイル解析における深刻な脆弱性【CVE-2024-8588】を公開した。この脆弱性はodxsw_dll.dllにおける範囲外読み取りの問題で、悪意のあるSLDPRTファイルを通じてシステムをクラッシュさせたり、機密データを取得したりする可能性がある。^[1]

AutoCAD 2025.1のWindows版における脆弱性は、CVSSスコアで7.8点というHIGHレベルの深刻度が割り当てられている。攻撃元区分はローカルで、攻撃条件の複雑さは低く、特権は不要だが、ユーザーの関与が必要となっている。

AutodeskはCISAのAuthorized Data Publishersプログラムを通じて、SSVCのエクスプロイト性は「none」、自動化可能性は「no」と評価している。CVSS3.1のベクトル文字列によると、機密性・完全性・可用性のいずれも高い影響を受ける可能性があるとされている。

AutoCAD 2025.1の脆弱性詳細

脆弱性の詳細はこちら

範囲外読み取りについて

範囲外読み取りとは、プログラムが割り当てられたメモリ領域の範囲を超えてデータを読み取ろうとする脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• バッファオーバーフローの一種として分類
• メモリ破壊やシステムクラッシュの原因に
• 機密情報の漏洩リスクが存在

AutoCADの脆弱性では、悪意のあるSLDPRTファイルを介して範囲外読み取りが発生する可能性がある。CVSSスコアが7.8と高く評価されている理由は、この脆弱性が機密情報の漏洩やシステムの制御に繋がる可能性があるためだ。

AutoCAD 2025.1の脆弱性に関する考察

AutoCADの脆弱性対策として、ファイル解析時のバウンダリチェックを強化することが重要である。SLDPRTファイルのパース処理において、メモリアクセスの制限やバッファサイズの適切な管理を実装することで、範囲外読み取りのリスクを大幅に軽減できるだろう。

今後は、ファイルフォーマットの解析に関するセキュリティテストの強化が必要になってくる。特に3Dモデリングデータのような複雑なファイル形式については、フォーマットの仕様を厳密に検証し、想定外のデータ構造に対する堅牢な処理を実装することが求められるだろう。

将来的には、ファイル解析エンジンのモジュール化や、サンドボックス環境での実行など、より高度なセキュリティ機能の実装が期待される。AutodeskにはAutoCADの安全性を高めるため、継続的なセキュリティアップデートとパッチ管理の提供を望みたい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-8588, (参照 24-11-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧