【CVE-2024-43048】QualcommのSnapdragonシリーズに深刻な脆弱性、52製品に影響でセキュリティリスクが増大
スポンサーリンク
記事の要約
- QualcommがSnapdragonシリーズの脆弱性を公開
- バッファオーバーフローによるメモリ破損の危険性
- FastConnectなど52製品が影響を受ける
スポンサーリンク
【CVE-2024-43048】QualcommのSnapdragonシリーズにバッファオーバーフローの脆弱性
Qualcommは2024年12月2日、同社のSnapdragonシリーズプラットフォームにおいてスタックベースのバッファオーバーフロー脆弱性【CVE-2024-43048】を公開した。GPUヘッドルームAPIの呼び出し時に不正な入力が渡されることでメモリ破損が発生する可能性があり、CVSSスコアは7.8と高い深刻度を示している。[1]
この脆弱性は、FastConnect 6200、FastConnect 6900、FastConnect 7800をはじめとする無線通信モジュールやSnapdragon 8 Gen 3などのモバイルプラットフォーム、さらにはSnapdragon Auto、Compute、Consumer IOTなど幅広いプラットフォームに影響を及ぼすことが判明した。影響を受ける製品は合計52に及び、早急な対応が必要となっている。
CVSSv3.1のスコアリング詳細では、攻撃元区分がローカル、攻撃条件の複雑さが低く、必要な特権レベルも低いことが示されている。ユーザーの関与は不要とされ、機密性、整合性、可用性のいずれも高い影響を受ける可能性があることから、システム全体のセキュリティに深刻な影響を及ぼす恐れがある。
CVE-2024-43048の影響を受ける製品一覧
製品カテゴリー | 影響を受ける主な製品 |
---|---|
無線通信モジュール | FastConnect 6200、6900、7800、WCN3620、WCN3660B、WCN3950 |
モバイルプラットフォーム | Snapdragon 8 Gen 3、8 Gen 2、8+ Gen 2 |
オーディオコーデック | WCD9335、WCD9341、WCD9370、WCD9375、WCD9378 |
産業用プラットフォーム | Vision Intelligence 400 Platform、SDM429W、SG4150P |
スポンサーリンク
スタックベースのバッファオーバーフローについて
スタックベースのバッファオーバーフローとは、プログラムのメモリ管理に関する重大な脆弱性の一つである。以下のような特徴が挙げられる。
- プログラムのスタック領域で発生するメモリ破損
- 不正なデータ入力による境界値チェックの失敗
- 任意のコード実行やシステムクラッシュの可能性
CVE-2024-43048では、GPUヘッドルームAPIへの不正な入力によってスタックベースのバッファオーバーフローが引き起こされる可能性がある。攻撃者によって悪用された場合、システムの制御権限の奪取や重要なデータの漏洩につながる恐れがある。
Qualcommの脆弱性対応に関する考察
Qualcommの迅速な脆弱性の公開と対応は評価に値するが、影響を受ける製品の範囲が広いことが懸念材料となっている。特にSnapdragonシリーズは多くのスマートフォンやIoTデバイスで採用されており、エンドユーザーへの影響も無視できない規模となる可能性が高いだろう。
今後は各デバイスメーカーとの連携を強化し、パッチの配布とアップデートの展開を効率的に進める必要がある。特にIoTデバイスやウェアラブル機器など、一般消費者が直接アップデートを行うことが難しい製品については、自動アップデートの仕組みの整備が重要となるだろう。
また、APIの設計段階でのセキュリティ検証プロセスの見直しも必要不可欠だ。入力値の検証やメモリ管理の厳格化など、予防的なセキュリティ対策の強化が望まれる。今回の事例を教訓として、開発プロセス全体でのセキュリティ品質の向上が期待される。
参考サイト
- ^ CVE. 「CVE-2024-43048 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-43048, (参照 24-12-17).
- Intel. https://www.intel.co.jp/content/www/jp/ja/homepage.html
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2024-10240】GitLabの複数バージョンで情報漏えいの脆弱性、未認証ユーザーによるプライベートプロジェクト情報へのアクセスが可能に
- 【CVE-2024-10251】Ivanti Security Controlsに特権昇格の脆弱性、デフォルト権限設定の不備が原因で深刻な影響の恐れ
- 【CVE-2024-11156】Rockwell Automation Arena®に深刻な脆弱性、任意のコード実行が可能に
- 【CVE-2024-11657】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃のリスクが発覚し早急な対応が必要に
- 【CVE-2024-11659】EnGenius製品にコマンドインジェクションの脆弱性、ベンダーの対応の遅れが深刻な問題に
- 【CVE-2024-11668】GitLab CE/EEにセッション期限切れの脆弱性、ストリーミング結果への不正アクセスの可能性
- 【CVE-2024-11669】GitLab CE/EEに認可の不備による脆弱性、機密データへの不正アクセスのリスクが判明
- 【CVE-2024-11828】GitLab CE/EEにDoS脆弱性が発見、API呼び出しによる攻撃の可能性が判明
- 【CVE-2024-11947】GFI Archiver Core Serviceに深刻な脆弱性、認証済み攻撃者による任意コード実行が可能に
- 【CVE-2024-11948】GFI Archiver 15.6のTelerik Web UIに重大な脆弱性、認証不要で任意のコード実行が可能に
スポンサーリンク