セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOCTOU脆弱性、44製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommがSnapdragonプラットフォームの脆弱性を公開
• カメラのJPEGエンコーダドライバにTOCTOU脆弱性が発見
• FastConnectやWCDなど44製品が影響を受ける

SnapdragonプラットフォームのTOCTOU脆弱性

Qualcommは2024年11月4日、SnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use（TOCTOU）レースコンディション脆弱性を公開した。この脆弱性は【CVE-2024-38406】として識別されており、CVSSスコア7.8のHigh深刻度に分類されている。^[1]

影響を受けるプラットフォームには、Snapdragon ComputeやIndustrial IOT、Wearablesなど広範な製品が含まれており、メモリ破損につながる可能性が指摘されている。脆弱性の技術的影響としては、IOCTL呼び出しの処理において不適切なメモリ操作が発生することが確認された。

FastConnect 6200から7800シリーズ、QCA6391からQCA6430、さらにはWCD9340からWCD9385まで、計44の製品でこの脆弱性の影響を受けることが判明している。Qualcommは公式セキュリティ情報でこの問題に対するパッチを公開し、早急な対応を呼びかけている。

影響を受けるQualcomm製品まとめ

Qualcommのセキュリティ情報の詳細はこちら

レースコンディションについて

レースコンディションとは、複数のプロセスやスレッドが共有リソースに同時にアクセスする際に発生する競合状態のことを指す。主な特徴として、以下のような点が挙げられる。

• タイミングに依存した不確実な動作が発生する
• 共有リソースへの同時アクセスによりデータ整合性が損なわれる
• セキュリティ上の脆弱性につながる可能性がある

JPEGエンコーダドライバのIOCTL処理におけるレースコンディションは、メモリ破損を引き起こす可能性があり、特権レベルの制限は存在するものの、ローカルからの攻撃により機密性と整合性に重大な影響を及ぼす可能性がある。CVSSスコア7.8のHigh深刻度評価は、攻撃の容易さと影響の大きさを反映している。

Snapdragonプラットフォームの脆弱性に関する考察

Qualcommの迅速な脆弱性の開示と修正パッチの提供は、セキュリティインシデントの予防という観点で評価できる。特にCVSSスコア7.8という高い深刻度に対して、詳細な影響範囲の特定と具体的な対策情報を提供したことは、ユーザーの安全確保に大きく貢献するだろう。

今後の課題として、IoTデバイスやウェアラブル機器の普及に伴い、同様の脆弱性がより広範な影響を及ぼす可能性がある。特にカメラ機能を利用するアプリケーションの増加により、JPEGエンコーダドライバの重要性は一層高まることが予想されるだろう。

セキュリティアップデートの配信体制の強化と、デバイスメーカーとの連携による迅速なパッチ適用の仕組みづくりが求められる。特にエンドオブライフに近い製品に対するサポート期間の明確化と、新たな脆弱性への対応方針の策定が重要な課題となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-38406, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧