セキュリティ

SECURITY

公開：2024-12-17

【CVE-2024-33053】QualcommのSnapdragonなどでUse After Free脆弱性、複数プラットフォームに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommがSnapdragonなどの脆弱性を公開
• CVE-2024-33053としてUse After Free脆弱性を確認
• 複数のプラットフォームで影響を受けることが判明

QualcommのSnapdragonなどに影響を与えるUse After Free脆弱性

Qualcommは2024年12月2日に、Snapdragonをはじめとする複数のプラットフォームにおいて、Use After Free脆弱性（CVE-2024-33053）を確認したことを公開した。この脆弱性は、複数のスレッドが同時にCVPバッファーの登録解除を試みた際にメモリ破損が発生する可能性があるものだ。^[1]

この脆弱性はCVSS v3.1で基本値6.7（深刻度：中）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。また、攻撃には高い特権レベルが必要だが、ユーザーの関与は不要であり、影響範囲は変更されない特徴を持つことが明らかになった。

影響を受けるプラットフォームは、Snapdragon Auto、Snapdragon Compute、Snapdragon Consumer IOT、Snapdragon Industrial IOT、Snapdragon Mobile、Snapdragon Wearablesなど多岐にわたっている。具体的な製品としては、C-V2X 9150やFastConnect 6200、QAM8295Pなど56の製品が対象となっている。

Use After Free脆弱性の影響を受ける製品まとめ

脆弱性の詳細はこちら

Use After Freeについて

Use After Freeとは、解放されたメモリ領域に対して不正なアクセスを行う脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムがメモリを解放した後もそのメモリを参照しようとする問題
• メモリ破損やシステムクラッシュの原因となる可能性
• 攻撃者による任意のコード実行につながる可能性

今回のQualcommの脆弱性では、複数のスレッドが同時にCVPバッファーの登録解除を試みた際にメモリ破損が発生する可能性がある。攻撃者が高い特権レベルを持っている場合、ローカルからの攻撃で情報の漏洩や改ざん、システムの可用性に影響を与える可能性があるとされている。

QualcommのUse After Free脆弱性に関する考察

今回のUse After Free脆弱性は、ローカルからの攻撃であることや高い特権レベルが必要とされることから、一般ユーザーへの直接的な影響は限定的だと考えられる。しかし、Snapdragonプラットフォームが幅広いデバイスに採用されていることを考えると、潜在的な影響範囲は非常に広く、早急な対策が望まれるだろう。

今後は同様の問題を防ぐため、マルチスレッド環境でのメモリ管理に関する開発ガイドラインの強化や、自動テストツールの導入による脆弱性の早期発見が重要になってくると予想される。また、製品開発段階からセキュリティを考慮したDesign by Securityの考え方を取り入れることで、同様の脆弱性の発生を未然に防ぐことができるだろう。

さらに、IoTデバイスやウェアラブルデバイスの普及に伴い、プラットフォームレベルのセキュリティ対策の重要性は今後ますます高まっていく。QualcommにはSnapdragonプラットフォームのセキュリティ強化を継続的に行うとともに、脆弱性が発見された際の迅速な対応と情報開示を期待したい。

参考サイト

1. ^ CVE. 「CVE-2024-33053 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33053, (参照 24-12-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧