【CVE-2024-33056】Qualcommの主要製品でバッファオーバーリードの脆弱性が発見、315以上の製品に影響
スポンサーリンク
記事の要約
- QualcommのSnapdragonなど複数製品でバッファオーバーリードの脆弱性が発見
- SMEMパーティションでのメモリ破損による深刻な脆弱性
- CVE-2024-33056として識別され315以上の製品に影響
スポンサーリンク
Snapdragonシリーズを含むQualcomm製品でバッファオーバーリードの脆弱性【CVE-2024-33056】が発見
Qualcomm社は2024年12月2日、同社のSnapdragonシリーズを含む複数の製品においてバッファオーバーリードの脆弱性【CVE-2024-33056】が発見されたことを公表した。SMEMパーティションにおけるエントリの割り当てとアクセス時に発生するメモリ破損の問題で、CVSSスコアは8.4と高い深刻度を示している。[1]
この脆弱性は、Snapdragon Auto、Snapdragon Compute、Snapdragon Mobile、Snapdragon Wearablesなど、Qualcommの主要製品ラインナップに広範な影響を及ぼしている。特にSnapdragon 8 Gen 3やSnapdragon 8 Gen 2などの最新フラグシップチップセットから、多くのIoTデバイスやウェアラブル製品まで、315以上の製品が影響を受けることが判明した。
攻撃者はローカルアクセスを通じて権限昇格や情報漏洩を引き起こす可能性があり、攻撃の実行に特別な権限や複雑な条件を必要としないことから、早急な対応が求められている。この脆弱性に対してQualcommは詳細な情報をセキュリティ情報として公開し、影響を受ける各製品の対応を進めている。
影響を受けるQualcomm製品まとめ
製品カテゴリー | 影響を受ける主な製品 |
---|---|
Snapdragon Mobile | Snapdragon 8 Gen 3、8 Gen 2、8 Gen 1、888、865シリーズ |
Snapdragon Compute | Snapdragon 8cx Gen 3、8c、7c+シリーズ |
Snapdragon IoT | QCS8550、QCS7230、QCS4490シリーズ |
Snapdragon Wearables | Snapdragon W5+ Gen 1、Wear 4100+シリーズ |
Snapdragon Auto | SA8775P、SA8295P、SA8155シリーズ |
スポンサーリンク
バッファオーバーリードについて
バッファオーバーリードとは、プログラムがメモリ上のバッファ領域を超えてデータを読み取ってしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。
- メモリ上の意図しないデータにアクセスする可能性がある
- 機密情報の漏洩につながる危険性が高い
- システムのクラッシュやプログラムの異常終了を引き起こす可能性がある
今回発見された脆弱性は、SMEMパーティション内のエントリ割り当てとアクセスにおいてバッファオーバーリードが発生する。このような脆弱性は通常、プログラムの境界チェックが不適切な場合に発生し、攻撃者によって悪用される可能性があることから、早急なパッチ適用が推奨されている。
CVE-2024-33056に関する考察
Qualcommの脆弱性対応は迅速であり、詳細な影響範囲の公開と対策の提供という点で評価できる。しかし、影響を受ける製品数が315以上と非常に多く、各デバイスメーカーやキャリアによるアップデート配信までには時間がかかる可能性があるため、エンドユーザーの保護という観点では課題が残るだろう。
今後はQualcommのチップセット開発において、SMEMパーティションのメモリ管理をより堅牢にする必要がある。特にIoTデバイスやウェアラブル製品など、長期的なサポートが必要な製品カテゴリーでは、セキュリティアップデートの配信体制の整備が重要な課題となるはずだ。
また、チップセットの複雑化に伴い、同様の脆弱性が今後も発見される可能性は否定できない。Qualcommには、開発段階でのセキュリティテストの強化とともに、発見された脆弱性への対応をより迅速に行える体制の構築が期待される。
参考サイト
- ^ CVE. 「CVE-2024-33056 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33056, (参照 24-12-17).
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2024-10240】GitLabの複数バージョンで情報漏えいの脆弱性、未認証ユーザーによるプライベートプロジェクト情報へのアクセスが可能に
- 【CVE-2024-10251】Ivanti Security Controlsに特権昇格の脆弱性、デフォルト権限設定の不備が原因で深刻な影響の恐れ
- 【CVE-2024-11156】Rockwell Automation Arena®に深刻な脆弱性、任意のコード実行が可能に
- 【CVE-2024-11657】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃のリスクが発覚し早急な対応が必要に
- 【CVE-2024-11659】EnGenius製品にコマンドインジェクションの脆弱性、ベンダーの対応の遅れが深刻な問題に
- 【CVE-2024-11668】GitLab CE/EEにセッション期限切れの脆弱性、ストリーミング結果への不正アクセスの可能性
- 【CVE-2024-11669】GitLab CE/EEに認可の不備による脆弱性、機密データへの不正アクセスのリスクが判明
- 【CVE-2024-11828】GitLab CE/EEにDoS脆弱性が発見、API呼び出しによる攻撃の可能性が判明
- 【CVE-2024-11947】GFI Archiver Core Serviceに深刻な脆弱性、認証済み攻撃者による任意コード実行が可能に
- 【CVE-2024-11948】GFI Archiver 15.6のTelerik Web UIに重大な脆弱性、認証不要で任意のコード実行が可能に
スポンサーリンク