セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-33068】Qualcommが複数のSnapdragonプラットフォームで脆弱性を公開、WLANホスト通信機能に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommがSnapdragonプラットフォームの脆弱性を公開
• WLANホスト通信でUse After Free脆弱性が発見
• MBSSIDビーコンフレーム解析時に一時的なDOSが発生

SnapdragonプラットフォームのWLANホスト通信における脆弱性

Qualcommは2024年11月4日、SnapdragonプラットフォームのWLANホスト通信機能においてUse After Free脆弱性【CVE-2024-33068】を公開した。この脆弱性はCVSS v3.1で深刻度7.5（High）と評価されており、ビーコンフレームからMBSSID IEを解析する際に一時的なサービス妨害（DOS）が発生する可能性がある。^[1]

この脆弱性は攻撃元区分がネットワークであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは不要で、利用者の関与も必要ないとされており、機密性や完全性への影響はないものの、可用性への影響が高いと評価されているのだ。

影響を受ける製品には、SnapdragonシリーズのAuto、Compute、Consumer IOT、Industrial IOT、Mobile、Wearables、Wired Infrastructure and Networkingなど、幅広いプラットフォームが含まれている。FastConnect 6900やFastConnect 7800などの通信モジュールも対象製品として挙げられている。

影響を受けるプラットフォームの詳細

セキュリティ情報の詳細はこちら

Use After Freeについて

Use After Freeとは、既に解放されたメモリ領域にアクセスしようとする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 解放済みのメモリ領域への不正アクセスが発生
• プログラムのクラッシュやサービス停止の原因となる
• メモリ破壊によってセキュリティリスクが生じる

WLANホスト通信におけるUse After Free脆弱性は、ビーコンフレームからMBSSID IEを解析する際に一時的なサービス妨害を引き起こす可能性がある。この脆弱性は特別な権限や利用者の操作を必要とせず、ネットワークを介して攻撃可能であることから、早急な対応が必要とされている。

Snapdragonプラットフォームの脆弱性に関する考察

Qualcommが公開したWLANホスト通信の脆弱性は、広範なSnapdragonプラットフォームに影響を及ぼす可能性があるため、早急な対策が求められる状況となっている。特にモバイルデバイスやIoT機器など、常時ネットワークに接続される機器が影響を受けやすく、サービス妨害攻撃によってユーザーエクスペリエンスが大きく損なわれる可能性があるだろう。

今後はWLANホスト通信におけるメモリ管理の強化やバッファオーバーフローの防止など、より堅牢なセキュリティ対策の実装が必要となってくるはずだ。特にIoTデバイスの普及に伴い、同様の脆弱性が発見されるリスクは高まっており、製品開発段階からのセキュリティ設計の重要性が増してくるに違いない。

また、Qualcommの迅速な脆弱性情報の公開と対応は評価できるが、影響を受ける製品が多岐にわたることから、各デバイスメーカーとの連携強化が重要となってくる。セキュリティアップデートの配信体制の整備や、エンドユーザーへの適切な情報提供など、エコシステム全体でのセキュリティ対策の強化が望まれるところだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33068, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧