セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-8590】Autodesk AutoCAD 2025.1にUse-After-Free脆弱性が発見、任意コード実行の危険性に警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCADでの3DMファイル処理に関する脆弱性を確認
• Use-After-Free脆弱性による任意コード実行の危険性
• CVSS評価でHIGHレベルの深刻度を判定

Autodesk AutoCAD 2025.1のUse-After-Free脆弱性

Autodeskは2024年10月29日、AutoCAD 2025.1のatf_api.dllにおいて悪意のある3DMファイルを解析する際にUse-After-Free脆弱性が発生することを公開した。この脆弱性は【CVE-2024-8590】として識別されており、CVSSスコアは7.8（HIGH）と評価されている。^[1]

この脆弱性を悪用された場合、攻撃者は現在のプロセスのコンテキストで任意のコードを実行できる可能性があり、システムのクラッシュや機密データの漏洩につながる危険性が指摘されている。脆弱性の影響範囲はWindows環境で実行されているAutoCAD 2025.1に限定されている。

AutodeskはこのセキュリティアドバイザリをADSK-SA-2024-0019として公開し、詳細な情報提供を行っている。SSVCの評価によると、現時点での自動化された攻撃の可能性は確認されていないものの、脆弱性の影響は重大であると判断されている。

AutoCAD 2025.1の脆弱性詳細

セキュリティアドバイザリの詳細はこちら

Use-After-Freeについて

Use-After-Freeとは、プログラム内でメモリの解放後にそのメモリ領域にアクセスしようとする際に発生する脆弱性の一種である。主な特徴として以下のような点が挙げられる。

• 解放済みのメモリ領域への不正なアクセス
• システムクラッシュや情報漏洩のリスク
• 任意のコード実行につながる可能性

AutoCADの事例では、悪意のある3DMファイルを解析する際にatf_api.dll内でUse-After-Free脆弱性が発生し、攻撃者による任意のコード実行を可能にする危険性がある。この種の脆弱性は適切なメモリ管理と入力検証によって防ぐことが可能だが、複雑なアプリケーションではその実装が困難を極めることがある。

AutoCADのUse-After-Free脆弱性に関する考察

AutoCADのような広く使用されているCADソフトウェアでの脆弱性発見は、産業界全体に大きな影響を与える可能性がある。3DMファイルの解析時に発生するこの脆弱性は、特に製造業や建設業など、AutoCADを重要なツールとして使用している業界において深刻な問題となり得るだろう。

今後は同様の脆弱性を防ぐため、ファイル形式の解析処理におけるメモリ管理の強化が必要不可欠となる。特にレガシーコードの見直しやセキュアコーディングガイドラインの徹底的な適用など、開発プロセス全体を通じたセキュリティ対策の強化が求められるだろう。

長期的には、CADソフトウェア全体のセキュリティアーキテクチャの見直しも検討に値する。特にファイルパーサーの分離やサンドボックス化など、より堅牢なセキュリティモデルの採用が望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-8590, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧