セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱性を公開、メモリ破損のリスクに対応急ぐ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommがSnapdragonプラットフォームの脆弱性を公開
• ComputerVisionのIOCTL処理でメモリ破損の問題
• FastConnect、WCD、WSAなど複数製品に影響

Snapdragonプラットフォームの重大な脆弱性

Qualcommは2024年11月4日、SnapdragonプラットフォームにおいてComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。バッファのアンマップ処理時にメモリ破損が発生する可能性があり、FastConnect 6900/7800やSnapdragon 8 Gen 2/8+ Gen 2など複数の製品に影響を及ぼすことが判明している。^[1]

この脆弱性はCWE-416（Use After Free）に分類され、CVSSスコアは6.7（Medium）と評価されている。攻撃には高い特権レベルが必要とされるものの、一度攻撃に成功すると機密性・整合性・可用性のすべてに高い影響を及ぼす可能性があるため、早急な対応が求められる。

影響を受ける製品には、WCD9370からWCD9395までのオーディオコーデック、WSA8830からWSA8845Hまでのオーディオアンプ、WCN6650/6755/7880などの通信モジュールが含まれている。Qualcommは該当製品のユーザーに対し、最新のセキュリティパッチの適用を推奨している。

影響を受けるQualcomm製品まとめ

Qualcommセキュリティ情報の詳細はこちら

Use After Freeについて

Use After Freeとは、既に解放されたメモリ領域に対してアクセスを試みることで発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによる情報漏洩のリスク
• メモリ管理の不備によるシステムクラッシュの可能性
• 権限昇格や任意のコード実行につながる危険性

ComputerVisionのIOCTL処理における今回の脆弱性は、バッファのアンマップ処理時にUse After Freeが発生する可能性がある。攻撃者が高い特権レベルを持っている場合、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性があるため、早急なパッチ適用が推奨されている。

Snapdragonの脆弱性対策に関する考察

Qualcommの迅速な脆弱性情報の公開と対応は評価に値するものの、広範な製品に影響が及ぶことから、パッチの展開と適用には課題が残されている。特にモバイルデバイスの場合、通信事業者やメーカーを経由したアップデートが必要となるため、エンドユーザーへの展開に時間がかかる可能性が高いだろう。

今後は製品設計段階からのセキュリティ対策強化が重要となり、特にメモリ管理に関する脆弱性の予防が課題となる。Use After Freeなどのメモリ関連の脆弱性は、適切なコード設計とテストによって防ぐことが可能であり、開発プロセスの見直しと改善が求められるだろう。

また、IoTデバイスの普及に伴い、Snapdragonプラットフォームの使用範囲は更に拡大することが予想される。セキュリティアップデートの自動化や、影響を受ける製品の迅速な特定など、効率的なセキュリティ管理の仕組みづくりが今後の重要な課題となるはずだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33033, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧