公開:

【CVE-2024-43048】QualcommのSnapdragonシリーズに深刻な脆弱性、52製品に影響でセキュリティリスクが増大

text: XEXEQ編集部
(記事は執筆時の情報に基づいており、現在では異なる場合があります)


記事の要約

  • QualcommがSnapdragonシリーズの脆弱性を公開
  • バッファオーバーフローによるメモリ破損の危険性
  • FastConnectなど52製品が影響を受ける

【CVE-2024-43048】QualcommのSnapdragonシリーズにバッファオーバーフローの脆弱性

Qualcommは2024年12月2日、同社のSnapdragonシリーズプラットフォームにおいてスタックベースのバッファオーバーフロー脆弱性【CVE-2024-43048】を公開した。GPUヘッドルームAPIの呼び出し時に不正な入力が渡されることでメモリ破損が発生する可能性があり、CVSSスコアは7.8と高い深刻度を示している。[1]

この脆弱性は、FastConnect 6200、FastConnect 6900、FastConnect 7800をはじめとする無線通信モジュールやSnapdragon 8 Gen 3などのモバイルプラットフォーム、さらにはSnapdragon Auto、Compute、Consumer IOTなど幅広いプラットフォームに影響を及ぼすことが判明した。影響を受ける製品は合計52に及び、早急な対応が必要となっている。

CVSSv3.1のスコアリング詳細では、攻撃元区分がローカル、攻撃条件の複雑さが低く、必要な特権レベルも低いことが示されている。ユーザーの関与は不要とされ、機密性、整合性、可用性のいずれも高い影響を受ける可能性があることから、システム全体のセキュリティに深刻な影響を及ぼす恐れがある。

CVE-2024-43048の影響を受ける製品一覧

製品カテゴリー 影響を受ける主な製品
無線通信モジュール FastConnect 6200、6900、7800、WCN3620、WCN3660B、WCN3950
モバイルプラットフォーム Snapdragon 8 Gen 3、8 Gen 2、8+ Gen 2
オーディオコーデック WCD9335、WCD9341、WCD9370、WCD9375、WCD9378
産業用プラットフォーム Vision Intelligence 400 Platform、SDM429W、SG4150P
Qualcommのセキュリティ情報の詳細はこちら

スタックベースのバッファオーバーフローについて

スタックベースのバッファオーバーフローとは、プログラムのメモリ管理に関する重大な脆弱性の一つである。以下のような特徴が挙げられる。

  • プログラムのスタック領域で発生するメモリ破損
  • 不正なデータ入力による境界値チェックの失敗
  • 任意のコード実行やシステムクラッシュの可能性

CVE-2024-43048では、GPUヘッドルームAPIへの不正な入力によってスタックベースのバッファオーバーフローが引き起こされる可能性がある。攻撃者によって悪用された場合、システムの制御権限の奪取や重要なデータの漏洩につながる恐れがある。

Qualcommの脆弱性対応に関する考察

Qualcommの迅速な脆弱性の公開と対応は評価に値するが、影響を受ける製品の範囲が広いことが懸念材料となっている。特にSnapdragonシリーズは多くのスマートフォンやIoTデバイスで採用されており、エンドユーザーへの影響も無視できない規模となる可能性が高いだろう。

今後は各デバイスメーカーとの連携を強化し、パッチの配布とアップデートの展開を効率的に進める必要がある。特にIoTデバイスやウェアラブル機器など、一般消費者が直接アップデートを行うことが難しい製品については、自動アップデートの仕組みの整備が重要となるだろう。

また、APIの設計段階でのセキュリティ検証プロセスの見直しも必要不可欠だ。入力値の検証やメモリ管理の厳格化など、予防的なセキュリティ対策の強化が望まれる。今回の事例を教訓として、開発プロセス全体でのセキュリティ品質の向上が期待される。

参考サイト

  1. ^ CVE. 「CVE-2024-43048 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-43048, (参照 24-12-17).
  2. Intel. https://www.intel.co.jp/content/www/jp/ja/homepage.html

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧
アーカイブ一覧
セキュリティに関する人気タグ
セキュリティに関するカテゴリ
ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。