公開:

【CVE-2024-33056】Qualcommの主要製品でバッファオーバーリードの脆弱性が発見、315以上の製品に影響

text: XEXEQ編集部
(記事は執筆時の情報に基づいており、現在では異なる場合があります)


記事の要約

  • QualcommのSnapdragonなど複数製品でバッファオーバーリードの脆弱性が発見
  • SMEMパーティションでのメモリ破損による深刻な脆弱性
  • CVE-2024-33056として識別され315以上の製品に影響

Snapdragonシリーズを含むQualcomm製品でバッファオーバーリードの脆弱性【CVE-2024-33056】が発見

Qualcomm社は2024年12月2日、同社のSnapdragonシリーズを含む複数の製品においてバッファオーバーリードの脆弱性【CVE-2024-33056】が発見されたことを公表した。SMEMパーティションにおけるエントリの割り当てとアクセス時に発生するメモリ破損の問題で、CVSSスコアは8.4と高い深刻度を示している。[1]

この脆弱性は、Snapdragon Auto、Snapdragon Compute、Snapdragon Mobile、Snapdragon Wearablesなど、Qualcommの主要製品ラインナップに広範な影響を及ぼしている。特にSnapdragon 8 Gen 3やSnapdragon 8 Gen 2などの最新フラグシップチップセットから、多くのIoTデバイスやウェアラブル製品まで、315以上の製品が影響を受けることが判明した。

攻撃者はローカルアクセスを通じて権限昇格や情報漏洩を引き起こす可能性があり、攻撃の実行に特別な権限や複雑な条件を必要としないことから、早急な対応が求められている。この脆弱性に対してQualcommは詳細な情報をセキュリティ情報として公開し、影響を受ける各製品の対応を進めている。

影響を受けるQualcomm製品まとめ

製品カテゴリー 影響を受ける主な製品
Snapdragon Mobile Snapdragon 8 Gen 3、8 Gen 2、8 Gen 1、888、865シリーズ
Snapdragon Compute Snapdragon 8cx Gen 3、8c、7c+シリーズ
Snapdragon IoT QCS8550、QCS7230、QCS4490シリーズ
Snapdragon Wearables Snapdragon W5+ Gen 1、Wear 4100+シリーズ
Snapdragon Auto SA8775P、SA8295P、SA8155シリーズ
Qualcommのセキュリティ情報の詳細はこちら

バッファオーバーリードについて

バッファオーバーリードとは、プログラムがメモリ上のバッファ領域を超えてデータを読み取ってしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

  • メモリ上の意図しないデータにアクセスする可能性がある
  • 機密情報の漏洩につながる危険性が高い
  • システムのクラッシュやプログラムの異常終了を引き起こす可能性がある

今回発見された脆弱性は、SMEMパーティション内のエントリ割り当てとアクセスにおいてバッファオーバーリードが発生する。このような脆弱性は通常、プログラムの境界チェックが不適切な場合に発生し、攻撃者によって悪用される可能性があることから、早急なパッチ適用が推奨されている。

CVE-2024-33056に関する考察

Qualcommの脆弱性対応は迅速であり、詳細な影響範囲の公開と対策の提供という点で評価できる。しかし、影響を受ける製品数が315以上と非常に多く、各デバイスメーカーやキャリアによるアップデート配信までには時間がかかる可能性があるため、エンドユーザーの保護という観点では課題が残るだろう。

今後はQualcommのチップセット開発において、SMEMパーティションのメモリ管理をより堅牢にする必要がある。特にIoTデバイスやウェアラブル製品など、長期的なサポートが必要な製品カテゴリーでは、セキュリティアップデートの配信体制の整備が重要な課題となるはずだ。

また、チップセットの複雑化に伴い、同様の脆弱性が今後も発見される可能性は否定できない。Qualcommには、開発段階でのセキュリティテストの強化とともに、発見された脆弱性への対応をより迅速に行える体制の構築が期待される。

参考サイト

  1. ^ CVE. 「CVE-2024-33056 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33056, (参照 24-12-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧
アーカイブ一覧
セキュリティに関する人気タグ
セキュリティに関するカテゴリ
ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。