【CVE-2024-33029】QualcommのDSPサービスにUse After Free脆弱性、自動車向けプラットフォームに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

QualcommがDSPサービスの脆弱性を公開
PDRドライバーのメモリ破損問題が発覚
複数のSnapdragonプラットフォームに影響

QualcommのDSPサービスにおけるUse After Free脆弱性

Qualcommは2024年11月4日、同社のDSPサービスにおいてPDRドライバーのリモートヒープマップ取得時にメモリ破損が発生する脆弱性を公開した。この脆弱性は【CVE-2024-33029】として識別されており、CVSSスコアは6.7（MEDIUM）に分類され、特権ユーザーによるローカルからの攻撃が可能となっている。^[1]

この脆弱性の影響を受けるプラットフォームには、QCA6584AU、QCA6698AQ、そしてSnapdragon Auto 5G Modem-RF Gen 2が含まれることが判明した。脆弱性の種類はCWE-416に分類されるUse After Freeであり、メモリの解放後に不正なアクセスが行われる可能性が存在している。

攻撃者が特権アクセスを持っている場合、この脆弱性を悪用することで情報の漏洩や改ざん、システムの可用性に影響を与える可能性がある。CVSSベクトルによると、攻撃の複雑さは低く、ユーザーの操作は不要とされているが、影響範囲は変更されないことが報告されている。

Qualcommの脆弱性情報まとめ

項目	詳細
CVE番号	CVE-2024-33029
脆弱性タイプ	Use After Free (CWE-416)
影響を受けるプラットフォーム	QCA6584AU、QCA6698AQ、Snapdragon Auto 5G Modem-RF Gen 2
CVSSスコア	6.7 (MEDIUM)
攻撃条件	特権ユーザーによるローカルアクセス、ユーザー操作不要

セキュリティ情報の詳細はこちら

Use After Freeについて

Use After Freeとは、プログラム内でメモリを解放した後にそのメモリ領域にアクセスしようとする際に発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

解放済みメモリへの不正アクセスによる情報漏洩の可能性
メモリ破損によるシステムクラッシュのリスク
特権昇格や任意のコード実行につながる可能性

QualcommのDSPサービスで発見された脆弱性では、PDRドライバーがリモートヒープマップを取得する際にUse After Freeが発生する可能性がある。この問題は特権ユーザーによって悪用される可能性があり、CVSSスコア6.7という中程度の深刻度が付与されている。

QualcommのDSPサービス脆弱性に関する考察

QualcommのDSPサービスにおける脆弱性の発見は、自動車向けプラットフォームのセキュリティ強化の重要性を改めて示している。特にSnapdragon Auto 5G Modem-RF Gen 2が影響を受けることから、コネクテッドカーのセキュリティリスクに対する包括的な対策が必要不可欠となっている。

今後は自動車業界におけるセキュリティ対策の標準化やガイドラインの整備が加速する可能性が高まっている。特にOTAアップデートの仕組みやセキュリティパッチの配布体制の確立が重要な課題となるだろう。自動車メーカーとチップベンダーの連携強化も不可欠だ。

特権アクセスを必要とする攻撃ベクトルであることから、アクセス制御の強化や権限管理の徹底が求められる。Qualcommにはセキュリティアップデートのタイムリーな提供と、脆弱性情報の透明性確保を期待したい。開発者向けのセキュリティガイドラインの拡充も重要である。