セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-38423】QualcommがSnapdragonの重大な脆弱性を公開、GPUページテーブル切り替えにメモリ破損の問題

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommがSnapdragonの脆弱性を公開
• GPUページテーブル切り替え時のメモリ破損が発生
• 複数のプラットフォームで影響が確認される

SnapdragonのGPUページテーブルにおけるメモリ破損の脆弱性

Qualcommは2024年11月4日、同社のSnapdragonプラットフォームにおいて深刻な脆弱性【CVE-2024-38423】を公開した。この脆弱性はGPUページテーブルの切り替え処理時にメモリ破損が発生するもので、Snapdragon Auto、Snapdragon Compute、Snapdragon Mobile、Snapdragon Voice & Musicなど多岐にわたるプラットフォームに影響を及ぼすことが判明している。^[1]

脆弱性の深刻度はCVSS v3.1で7.8（High）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低く、特権レベルは必要とされるものの、ユーザーの関与は不要とされている。この脆弱性が悪用された場合、機密性、整合性、可用性のすべてに高いレベルの影響が及ぶ可能性が指摘されている。

影響を受けるプラットフォームには最新のSnapdragon 888+ 5G Mobile PlatformやSnapdragon XR2+ Gen 1 Platformなど、現行の主要製品が含まれており、FastConnect 6900やQCA6391などの通信モジュールにも影響が及ぶことが確認されている。Qualcommは影響を受ける製品のユーザーに対して、適切なセキュリティアップデートの適用を推奨している。

影響を受けるQualcomm製品まとめ

Qualcommのセキュリティ情報の詳細はこちら

バッファオーバーフローについて

バッファオーバーフローとは、プログラムがメモリ上に確保された領域（バッファ）を超えてデータを書き込もうとする際に発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ破壊によるシステムクラッシュの可能性
• 任意のコード実行による権限昇格のリスク
• 機密情報の漏洩につながる危険性

今回のQualcommの脆弱性では、GPUページテーブルの切り替え処理時にバッファオーバーフローが発生し、メモリ破損を引き起こす可能性がある。この種の脆弱性は、CVSS評価で示されているように、攻撃者によって悪用された場合、システムの機密性、整合性、可用性に重大な影響を及ぼす可能性が高い。

Snapdragonの脆弱性に関する考察

Qualcommの幅広いプラットフォームに影響を及ぼす今回の脆弱性は、モバイルデバイスのセキュリティ管理の重要性を改めて浮き彫りにした。特にSnapdragonチップセットは、スマートフォンからXRデバイス、車載システムまで幅広い製品に採用されており、影響範囲の広さが問題の深刻さを際立たせている。

今後の課題として、チップセットメーカーとデバイスメーカー間のセキュリティアップデート配信体制の整備が挙げられる。エンドユーザーまでアップデートが確実に届く仕組みの構築が不可欠であり、特にAndroidデバイスの場合、製造元やキャリアごとの対応の違いが問題となる可能性がある。セキュリティパッチの迅速な適用を実現するためのエコシステムの改善が望まれる。

また、GPUのページテーブル管理におけるセキュリティ強化も重要な課題となる。ハードウェアレベルでのセキュリティ機能の実装や、メモリ管理の厳格化など、予防的なアプローチの採用が期待される。Qualcommには今回の事例を教訓として、次世代チップセットの設計段階からセキュリティを考慮したアーキテクチャの採用を望みたい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-38423, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧