AI

エーアイ

公開：2024-11-20

【CVE-2024-21975】AMD Ryzen AI Softwareにおける重大な脆弱性、任意のコード実行が可能な深刻な問題に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AMD Ryzen AI Softwareの脆弱性が発見
• NPUドライバーに入力検証の不備が判明
• 任意のコード実行が可能な深刻な脆弱性

AMD Ryzen AI Software 1.2未満のバージョンにおける重大な脆弱性

AMDは2024年11月12日、AMD Ryzen AI Softwareにおける重大な脆弱性【CVE-2024-21975】を公開した。NPUドライバーにおける不適切な入力検証により、攻撃者が特別に細工されたポインタを供給することで任意のコード実行が可能になる脆弱性が発見されている。^[1]

CVSSスコアは8.8（High）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。また、ユーザーの関与は不要であり、影響の範囲は変更ありとされているため、早急な対策が必要だ。

AMD Ryzen AI Softwareのバージョン1.2未満が影響を受けるとされており、AMDは既に修正版となるバージョン1.2をリリースしている。システム管理者は速やかにアップデートを実施し、脆弱性対策を行う必要がある。

AMD Ryzen AI Softwareの脆弱性まとめ

脆弱性の詳細はこちら

NPUについて

NPUとは「Neural Processing Unit」の略称で、人工知能や機械学習の処理に特化した専用プロセッサのことを指す。主な特徴として以下のような点が挙げられる。

• AIや機械学習タスクに最適化された演算処理
• 高速な並列処理による効率的な処理
• 低消費電力での高性能な処理を実現

AMDのRyzen AI Softwareは、NPUを活用してAIや機械学習タスクを効率的に処理することを目的としたソフトウェアである。今回発見された脆弱性は、NPUドライバーの入力検証の不備に起因しており、悪意のある攻撃者によって任意のコードが実行される可能性がある深刻な問題となっている。

AMD Ryzen AI Softwareの脆弱性に関する考察

AMD Ryzen AI Softwareの脆弱性は、NPUドライバーという重要なコンポーネントに存在する問題であり、任意のコード実行が可能になる点で非常に危険性が高いと言える。特にローカル環境での攻撃が可能であり、攻撃条件の複雑さも低いことから、組織内部からの攻撃リスクが高まる可能性がある。

今後は入力値の検証プロセスをより厳格化し、ポインタ操作に関するセキュリティチェックを強化する必要があるだろう。特にAIや機械学習の処理を行うNPUドライバーは、高度な演算処理を行う性質上、メモリ管理やポインタ操作が複雑になりがちであり、脆弱性が潜在的に存在する可能性が高い。

AMD Ryzen AI Softwareの今後の展開としては、セキュリティ機能の強化とともに、AIワークロードの処理効率の向上も期待される。特にエッジデバイスでのAI処理需要が高まる中、NPUの重要性は増していくため、セキュリティと性能の両立が求められる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-21975, (参照 24-11-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「AI」に関するコラム一覧「AI」に関するニュース一覧