セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-8597】AutoCAD 2025.1でSTPファイル解析の脆弱性が発見、メモリ破損によるコード実行のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCAD 2025.1でSTPファイル解析の脆弱性が発見
• メモリ破損による任意コード実行の可能性
• CVSSスコア7.8の高リスク脆弱性と評価

Autodesk AutoCAD 2025.1のメモリ破損の脆弱性

Autodeskは2024年10月29日、AutoCAD 2025.1のASMDATAX230A.dllにおいてSTPファイルの解析時にメモリ破損の脆弱性が発見されたことを公開した。この脆弱性は悪意のあるSTPファイルを解析する際に発生し、プロセス内で任意のコードが実行される可能性があることが判明している。^[1]

この脆弱性はCVE-2024-8597として識別されており、CVSSスコアは7.8と高い深刻度で評価されている。攻撃者はこの脆弱性を利用してシステムをクラッシュさせたり、機密データを書き込んだり、任意のコードを実行したりする可能性があるとされている。

AutodeskはWindows環境で動作するAutoCAD 2025.1のユーザーに対して、この脆弱性への対応を強く推奨している。SSVCの評価によると現時点で自動化された攻撃は確認されていないものの、技術的な影響は重大であると判断されている。

AutoCAD 2025.1の脆弱性詳細

AutoCADの脆弱性の詳細はこちら

メモリ破損について

メモリ破損とは、プログラムが意図しない形でメモリ領域にアクセスしたり、データを書き込んだりすることによって発生する脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• プログラムの実行時にメモリ領域外へのアクセスが発生
• システムクラッシュや情報漏洩のリスクが存在
• 任意のコード実行による権限昇格の可能性

AutoCAD 2025.1で発見されたメモリ破損の脆弱性は、ASMDATAX230A.dllがSTPファイルを解析する際にメモリの境界チェックが適切に行われないことが原因となっている。攻撃者は特別に細工されたSTPファイルを用意することで、この脆弱性を悪用し現在のプロセスのコンテキスト内で任意のコードを実行する可能性がある。

AutoCAD 2025.1の脆弱性に関する考察

AutoCAD 2025.1における今回のメモリ破損の脆弱性は、3Dモデリングデータの重要性が高まる製造業において深刻な影響をもたらす可能性がある。STPファイルは異なるCADシステム間でデータ交換を行う際に広く使用されており、この脆弱性が悪用された場合、企業の機密情報が漏洩するリスクが存在するだろう。

今後は同様の脆弱性を防ぐため、ファイル解析時のメモリ境界チェックをより厳密に行う対策が必要となってくる。特にSTPファイルのようなバイナリデータを扱う場合、入力値の検証やメモリ管理をより慎重に行うことで、セキュリティリスクを最小限に抑えることが可能になるだろう。

中長期的には、AutoCADのセキュリティ機能を強化し、不正なファイルの検出や隔離機能の実装が望まれる。製造業のデジタル化が進む中、CADソフトウェアのセキュリティは今後さらに重要性を増すことが予想される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-8597, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧