セキュリティ

SECURITY

公開：2024-12-17

【CVE-2024-33063】QualcommのWLANホスト通信に重大な脆弱性、124製品に影響し早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WLANホスト通信における整数オーバーフローの脆弱性を発見
• QualcommのSnapdragonプラットフォームに影響
• 124の製品で影響が確認され対応が必要に

QualcommのWLANホスト通信における整数オーバーフローの脆弱性

Qualcommは2024年12月2日、WLANホスト通信における整数オーバーフローの脆弱性【CVE-2024-33063】を公開した。この脆弱性は、MLIEを含むビーコンを解析する際に、共通情報の長さがMLIE自体よりも大きい場合に一時的なサービス拒否（DOS）が発生する可能性がある。^[1]

この脆弱性はCVSS v3.1で深刻度が7.5（High）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低く、特権は不要とされている。攻撃者は特別な権限を必要とせずにこの脆弱性を悪用でき、サービスの可用性に重大な影響を及ぼす可能性が高いとされている。

影響を受ける製品には、Snapdragon Auto、Snapdragon Compute、Snapdragon Consumer IOT、Snapdragon Industrial IOTなど、Qualcommの主要なプラットフォームが含まれている。特にSnapdragon 8 Gen 2やSnapdragon 8 Gen 3などの最新モバイルプラットフォームも対象となっており、早急な対応が求められている。

影響を受ける製品の詳細

Qualcommのセキュリティ情報の詳細はこちら

整数オーバーフローについて

整数オーバーフローとは、プログラムが処理できる整数の最大値を超えた場合に発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 変数の上限値を超えた際にデータが不正確になる
• メモリ破壊やバッファオーバーフローの原因となる
• DoS攻撃やコード実行につながる可能性がある

今回の脆弱性では、WLANのMLIE処理において整数オーバーフローが発生し、一時的なサービス拒否状態を引き起こす可能性がある。CVEによる評価では、この脆弱性は攻撃の複雑さが低く、特権が不要であることから、早急な対策が必要とされている。

QualcommのWLAN脆弱性対応に関する考察

QualcommのWLAN実装における今回の脆弱性は、広範な製品に影響を与える重大な問題として認識されている。特にSnapdragonプラットフォームを採用する多くのモバイルデバイスやIoT機器が影響を受けることから、製造業者やデバイスベンダーは迅速なパッチ適用プロセスを確立する必要があるだろう。

今後はWLANスタックの実装において、より厳密な入力値の検証やバッファサイズの管理が求められる。特にMLIEのような複雑なデータ構造を扱う際には、整数オーバーフローやバッファオーバーフローを防ぐための堅牢な実装が不可欠となるはずだ。

また、Qualcommの広範な製品ポートフォリオにおいて、セキュリティパッチの配布と適用の効率化が課題となる。エコシステム全体でのセキュリティアップデートの展開を迅速化するためには、ベンダーとの協力体制の強化が重要となるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-33063 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-33063, (参照 24-12-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧