セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-23377】QualcommがSnapdragon製品の脆弱性を公開、メモリ破損の危険性が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommがSnapdragon製品の脆弱性を公開
• FastConnectやSnapdragonなど複数製品が影響を受ける
• メモリ破損によるIOCTLコマンドの問題を修正

Qualcommの複数製品に影響を及ぼすCVE-2024-23377の脆弱性

Qualcommは2024年11月4日、FastConnectやSnapdragon製品など複数の製品に影響を及ぼす重要な脆弱性【CVE-2024-23377】を公開した。EVAドライバーにおいてユーザーがシステムプロパティ送信後にコマンドのパケットサイズを変更した場合にメモリ破損が発生する問題が確認されており、脆弱性の深刻度はCVSS v3.1で6.7（Medium）と評価されている。^[1]

影響を受ける製品には、FastConnect 6900/7800やSnapdragon 8 Gen 1/2、Snapdragon AR2 Gen 1 Platformなど、多数のプラットフォームが含まれており、特に最新のモバイルプラットフォームへの影響が大きい。脆弱性の種類はCWE-823（Use of Out-of-range Pointer Offset）に分類されており、攻撃者が高い権限を持つ状態で攻撃を実行する必要があるとされている。

QualcommはCVE-2024-23377の脆弱性に対して、影響を受ける全製品のセキュリティアップデートを提供する方針を示している。この脆弱性は機密性・完全性・可用性のすべてに高い影響があるとされており、早急なアップデートの適用が推奨されているのだ。

Snapdragon製品の脆弱性まとめ

Qualcommのセキュリティ情報の詳細はこちら

メモリ破損について

メモリ破損とは、プログラムが不適切なメモリアクセスを行うことによって発生するセキュリティ上の脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムが想定外のメモリ領域にアクセス
• バッファオーバーフローやメモリリークの原因に
• 任意のコード実行やシステムクラッシュのリスク

今回のCVE-2024-23377では、ユーザーがIOCTLコマンドのパケットサイズを変更することでメモリ破損が引き起こされる可能性がある。EVAドライバーに対してシステムプロパティを送信した後にコマンドパケットが改変されることで、不正なメモリアクセスが発生し、深刻なセキュリティリスクとなる可能性が指摘されている。

CVE-2024-23377に関する考察

QualcommがCVE-2024-23377の脆弱性を公開したことは、モバイルデバイスのセキュリティ向上において重要な一歩となる。特にSnapdragon 8シリーズなど主力製品に影響があることから、製造メーカーやキャリアとの連携を強化し、エンドユーザーへのアップデート提供を迅速に行う体制の構築が求められるだろう。

今後は同様の脆弱性を防ぐため、ドライバーレベルでのセキュリティ検証プロセスの強化が必要となる。特にIOCTLコマンドのような低レベルの操作に関して、パケットサイズの検証やメモリアクセスの制限など、より厳密な実装が求められるはずだ。

将来的にはAIを活用したセキュリティ検証の自動化やリアルタイムモニタリングの導入も検討すべきである。Qualcommの製品は多くのモバイルデバイスで使用されており、セキュリティ対策の強化は業界全体の信頼性向上につながることだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-23377, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧