セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-33037】QualcommのNPUファームウェアでバッファオーバーリードの脆弱性が発見、51製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommのNPUファームウェアに脆弱性が発見される
• バッファオーバーリードによる情報漏洩の可能性
• 51種類のSnapdragonプラットフォームに影響

QualcommのNPUファームウェアにおけるバッファオーバーリードの脆弱性を発見

Qualcommは2024年12月2日、同社のNPUファームウェアにバッファオーバーリードの脆弱性【CVE-2024-33037】が発見されたことを公開した。NPUファームウェアがNPUドライバーに対して不正なIPCメッセージを送信できる問題が確認され、ドライバーがファームウェアから受信したIPCメッセージを適切に検証していないことが判明している。^[1]

この脆弱性はSnapdragon Auto、Snapdragon Compute、Snapdragon Mobile、Snapdragon Wearablesなど複数のプラットフォームに影響を与えることが確認されている。CVSSスコアは6.1（深刻度：中）と評価され、ローカルからの攻撃による情報漏洩のリスクが指摘されているところだ。

影響を受けるプラットフォームには、Snapdragon 865 5G Mobile Platform、Snapdragon W5+ Gen 1 Wearable Platform、Snapdragon XR2 5G Platformなど51種類の製品が含まれることが判明した。Qualcommは該当する製品のユーザーに対してアップデートの適用を推奨している。

影響を受けるQualcomm製品まとめ

Qualcommのセキュリティ情報の詳細はこちら

バッファオーバーリードについて

バッファオーバーリードとは、プログラムが確保したメモリ領域の範囲を超えてデータを読み取ってしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ境界チェックの不備により発生する脆弱性
• 機密情報の漏洩につながる可能性がある深刻な問題
• 適切なバッファサイズの検証により防止可能

CWE-126として分類されるこの脆弱性は、メモリ管理の不適切な実装によって引き起こされる重大なセキュリティ上の問題となる。今回のQualcommの事例では、NPUファームウェアとドライバー間の通信において、IPCメッセージの検証が不十分であることが原因となっており、早急な対策が求められている。

QualcommのNPUファームウェア脆弱性に関する考察

QualcommのNPUファームウェアにおける今回の脆弱性は、多くのプラットフォームに影響を与える広範な問題であり、早急な対応が必要とされている。特にSnapdragonプラットフォームは多くのモバイルデバイスやウェアラブルデバイスで使用されているため、潜在的な被害の規模が大きくなる可能性が高いだろう。

今後はファームウェアとドライバー間の通信におけるセキュリティ検証の強化が求められる。IPCメッセージの検証プロセスを改善し、バッファサイズの適切な管理を実装することで、同様の脆弱性の再発を防ぐことが期待できるだろう。

NPUの重要性は今後さらに高まることが予想されるため、セキュリティ対策の強化は必須となる。特にAI処理の需要が増加する中、NPUのセキュリティ確保は製品の信頼性を左右する重要な要素となっていくはずだ。

参考サイト

1. ^ CVE. 「CVE-2024-33037 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33037, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧