セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-7991】AutoCAD 2025にOut-of-bounds Write脆弱性を発見、任意のコード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCADのDWGファイルに重大な脆弱性が発見
• Out-of-bounds Writeの脆弱性でコード実行が可能
• CVSS評価スコアは7.8で深刻度は高レベル

AutoCAD 2025のOut-of-bounds Write脆弱性

Autodeskは2024年10月29日、AutoCAD 2025およびAutoCAD関連製品において重大な脆弱性【CVE-2024-7991】を公表した。この脆弱性は悪意のあるDWGファイルを解析する際にOut-of-bounds Writeを引き起こし、攻撃者がクラッシュやデータ読み取り、任意のコード実行を可能にする深刻な問題である。^[1]

CVSSスコアは7.8と高い深刻度を示しており、攻撃の実行には特権は不要だがユーザーの関与が必要とされている。この脆弱性はCWE-787（Out-of-bounds Write）に分類され、攻撃元区分はローカルで攻撃条件の複雑さは低いとされている。

Autodeskはこの脆弱性に対する修正パッチを準備しており、影響を受けるAutoCADおよび関連製品のユーザーは最新のアップデートを適用することが推奨される。この問題は現在のプロセスのコンテキストで任意のコードを実行される可能性があり、早急な対応が求められている。

AutoCAD 2025の脆弱性詳細

セキュリティアドバイザリの詳細はこちら

Out-of-bounds Writeについて

Out-of-bounds Writeとは、プログラムが割り当てられたメモリ領域の範囲外にデータを書き込もうとする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• バッファオーバーフローを引き起こす可能性がある
• メモリ破壊によりプログラムのクラッシュを引き起こす
• 任意のコード実行やデータの改ざんが可能になる

AutoCADの脆弱性では、悪意のあるDWGファイルを解析する際にOut-of-bounds Writeが発生し、攻撃者による任意のコード実行やデータ読み取りを可能にしている。この脆弱性は攻撃条件の複雑さが低く特権も不要なため、早急なパッチ適用が推奨される。

AutoCADの脆弱性に関する考察

AutoCADの脆弱性は、CADデータの共有が日常的に行われる建築・製造業界において深刻な影響を及ぼす可能性がある。DWGファイルは業界標準のフォーマットとして広く使用されており、悪意のあるファイルが流通した場合、企業の機密情報や設計データが漏洩するリスクが高まるだろう。

今後の対策として、DWGファイルのサニタイズ機能やファイル検証機能の強化が求められる。また、ファイル共有時の暗号化やアクセス制御の徹底、信頼できるソースからのファイル入手など、運用面での対策も重要になってくるだろう。

長期的には、CADデータのセキュリティ基準の確立や業界全体でのセキュリティ意識の向上が必要不可欠である。特にクラウドベースのCADシステムが普及する中、ファイル形式の安全性担保は今後さらに重要性を増すと考えられる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-7991, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧