セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆弱性を発見、複数のプラットフォームに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommのSnapdragonデバイスにTOCTOU脆弱性
• JPEG Encoderドライバにメモリ破損の問題
• FastConnect、Snapdragon等44製品が影響を受ける

QualcommのSnapdragonデバイスにおけるTOCTOU脆弱性が発見

Qualcommは2024年11月4日、SnapdragonデバイスのJPEG Encoderドライバにおいて深刻な脆弱性【CVE-2024-38407】を公開した。この脆弱性はTime-Of-Check Time-Of-Use（TOCTOU）レースコンディションの問題で、IOCTL呼び出しの入力パラメータ処理時にメモリ破損が発生する可能性があるのだ。^[1]

影響を受ける製品は、FastConnect 6200から7800シリーズ、QCA6391からQCA6430、QCM5430からQCS6490など、幅広いSnapdragonプラットフォームに及んでいる。CVSSスコアは7.8（High）と評価され、攻撃者が特権レベルでローカルアクセスを得た場合に深刻な影響を及ぼす可能性がある。

この脆弱性は特に、Snapdragon Compute、Snapdragon Industrial IOT、Snapdragon Wearablesの各プラットフォームに影響を与える。FastConnect 6200から6900シリーズ、WSA8810からWSA8845Hまでの広範な製品群で、セキュリティパッチの適用が必要となっている。

影響を受けるQualcomm製品の一覧

Qualcommのセキュリティ情報の詳細はこちら

Time-Of-Check Time-Of-Use（TOCTOU）について

Time-Of-Check Time-Of-Use（TOCTOU）は、プログラムが実行時に発生する重要なセキュリティ脆弱性の一つで、以下のような特徴を持つ同期に関する問題である。

• リソースの検証と使用の間にタイミングの隙間が存在
• マルチスレッド環境で特に発生しやすい問題
• 権限昇格や情報漏洩などのセキュリティリスクを引き起こす

今回発見されたQualcommの脆弱性では、JPEG Encoderドライバ内のIOCTL処理においてTOCTOUの問題が確認された。この問題により、入力パラメータの検証時と実際の使用時の間に状態が変化し、メモリ破損や権限昇格などの深刻な影響を及ぼす可能性が指摘されている。

QualcommのTOCTOU脆弱性に関する考察

QualcommのIOCTL処理における入力パラメータの検証と使用の間のタイミング問題は、現代のマルチスレッドシステムにおける深刻な課題を浮き彫りにしている。特にモバイルデバイスやIoT機器のセキュリティ面では、ドライバレベルでの脆弱性が重要なリスク要因となっており、早急な対策が必要だろう。

CVSSスコア7.8という高い深刻度は、この脆弱性が実際の攻撃に悪用される可能性が高いことを示唆している。特に産業用IoTやウェアラブルデバイスなど、セキュリティが重要視される分野での影響が懸念されるため、製品開発段階でのセキュリティテストの強化が不可欠となるだろう。

今後はドライバ開発におけるセキュアコーディングガイドラインの整備や、自動化されたセキュリティテストツールの導入が重要となる。特にTOCTOUのような同期に関する問題は、静的解析だけでは検出が困難なため、動的解析やファジングテストなどの複合的なアプローチが必要になるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-38407, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧