セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-8596】AutoCAD 2025.1でOut-of-bounds Write脆弱性が発見、任意のコード実行のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCAD 2025.1でOUT-OF-BOUNDSの脆弱性が発見
• 悪意のあるMODELファイルによりコード実行の可能性
• 深刻度は高く、CVSSスコア7.8を記録

AutoCAD 2025.1のOUT-OF-BOUNDS脆弱性

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllにおいて悪意のあるMODELファイルを解析する際に発生するOUT-OF-BOUNDSの脆弱性を公開した。この脆弱性は【CVE-2024-8596】として識別されており、攻撃者が細工したMODELファイルを使用することで任意のコード実行やクラッシュを引き起こす可能性があるとされている。^[1]

CVSSスコアは7.8と高い深刻度を示しており、攻撃の複雑さは低く特権も不要だが、ユーザーの関与が必要とされている。影響範囲はWindowsプラットフォーム上で動作するAutoCAD 2025.1に限定されており、他のバージョンは影響を受けないことが確認されている。

Autodeskはこの脆弱性に対する詳細な情報をセキュリティアドバイザリとして公開しており、ユーザーに対して適切な対策を促している。この脆弱性はCISA-ADPによっても確認されており、技術的な影響度は全体に及ぶとされている。

AutoCAD 2025.1の脆弱性詳細

セキュリティアドバイザリの詳細はこちら

Out-of-bounds Writeについて

Out-of-bounds Writeとは、プログラムが確保されたメモリ領域の範囲を超えてデータを書き込むセキュリティ上の脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• バッファオーバーフローの一種として分類される
• 任意のコード実行やシステムクラッシュの原因となる
• メモリ破壊による情報漏洩のリスクがある

AutoCADの事例では、libodxdll.dllがMODELファイルを解析する際にメモリ境界チェックが適切に行われていないことが原因となっている。攻撃者は特別に細工したMODELファイルを使用することでこの脆弱性を悪用し、システムに深刻な影響を及ぼす可能性がある。

AutoCAD 2025.1の脆弱性に関する考察

AutoCADのような広く使用されているCADソフトウェアにおける脆弱性の発見は、産業界全体に大きな影響を与える可能性がある。特に製造業や建設業など、重要なインフラストラクチャーの設計に関わる業界では、セキュリティインシデントが発生した場合の影響が甚大になる可能性が高い。

今後は同様の脆弱性を防ぐため、ファイル解析時のバウンダリチェックやメモリ管理の強化が必要となるだろう。特にレガシーコードの見直しやセキュアコーディングガイドラインの徹底的な適用が重要となる。開発プロセスにおけるセキュリティテストの強化も検討する必要がある。

また、ユーザー企業側でも信頼できない外部ソースからのファイル受け入れに対する厳格なポリシーの策定が求められる。AutoCADの新バージョンリリース時には、セキュリティ機能の強化やサンドボックス環境での実行など、より堅牢な防御機能の実装が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-8596, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧