セキュリティ

SECURITY

公開：2024-12-17

【CVE-2024-33044】QualcommのSnapdragonに深刻な脆弱性、200以上の製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Snapdragon製品に深刻な脆弱性【CVE-2024-33044】が発見
• ハイパーバイザーのインデックス検証に関する不具合
• 多数のQualcomm製品が影響を受ける状況に

QualcommのSnapdragonプラットフォームにおける深刻な脆弱性

Qualcomm社は2024年12月2日、同社のSnapdragonプラットフォームに深刻な脆弱性【CVE-2024-33044】が存在することを公表した。この脆弱性はSMR/S2CRレジスタをBypassモードで設定する際にメモリ破損が発生する可能性があり、CVSSスコアは8.4と高い深刻度を示している。^[1]

影響を受ける製品には、Snapdragon Auto、Snapdragon Compute、Snapdragon Mobile、Snapdragon Wearablesなど、200以上のプラットフォームが含まれることが判明した。FastConnect 6200からFastConnect 7800までの通信チップや、多数のQCAシリーズも影響を受けることが確認されている。

この脆弱性は配列インデックスの不適切な検証に起因しており、CWE-129として分類されている。攻撃者は特権レベルが不要で、ユーザーインタラクションも必要としないため、攻撃の実行が比較的容易であることが懸念される。

影響を受けるQualcomm製品の詳細

配列インデックスの不適切な検証について

配列インデックスの不適切な検証とは、プログラムが配列やリストの要素にアクセスする際のインデックス値を適切に検証していない状態を指す。主な特徴として、以下のような点が挙げられる。

• 境界値チェックの欠如によるバッファオーバーフロー
• 不正なメモリアクセスによるシステムの不安定化
• 攻撃者による任意のコード実行の可能性

Qualcommの事例では、SMR/S2CRレジスタの設定時に配列インデックスの検証が不適切であることが判明した。ハイパーバイザーレベルでの実装における不具合は、システム全体のセキュリティに重大な影響を及ぼす可能性が指摘されている。

Qualcommの脆弱性対応に関する考察

Qualcommの広範な製品ラインナップに影響を与える今回の脆弱性は、モバイルデバイスからIoT機器まで幅広い影響を及ぼす可能性がある。特にSnapdragonプラットフォームは多くのデバイスメーカーに採用されており、エンドユーザーの数を考えると、影響範囲の把握と迅速なパッチ適用が急務となるだろう。

今後はファームウェアアップデートの配信体制の強化と、セキュリティ検証プロセスの見直しが重要な課題となる。特にIoTデバイスなど、従来のアップデート体制が整っていない製品カテゴリにおいては、新たなアップデート方式の確立が必要になってくるだろう。

また、ハードウェアセキュリティの重要性が増す中、チップ設計段階からのセキュリティ対策強化が不可欠となる。Qualcommには、今回の事例を教訓として、より強固なセキュリティフレームワークの構築が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-33044 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33044, (参照 24-12-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧