セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-21464】QualcommのSnapdragonプラットフォームでバッファオーバーフロー脆弱性が発見、21製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Qualcommが複数のSnapdragonプラットフォームで脆弱性を確認
• FastConnect、WSAシリーズなど21製品に影響
• メモリ破損によるIPAの統計処理に関する脆弱性

Snapdragonプラットフォームのバッファオーバーフロー脆弱性

Qualcommは2025年1月6日、Snapdragonプラットフォームにおいてバッファオーバーフロー脆弱性【CVE-2024-21464】を確認したことを発表した。FastConnect 6700/6900/7800シリーズやSnapdragon 8 Gen 3などの複数プラットフォームで、アクティブなクライアントが登録されていない状態でIPAの統計処理を行う際にメモリ破損が発生する可能性があることが判明している。^[1]

この脆弱性は高リスク（CVSS v3.1スコア8.4）に分類され、ローカルからの攻撃で特権不要かつユーザー操作なしで実行可能であることが特徴だ。影響を受けるプラットフォームには、Snapdragon Auto、Snapdragon Compute、Snapdragon Connectivityなど幅広い製品ラインナップが含まれている。

また、WSA8810からWSA8845Hまでの複数のWSAシリーズ製品も影響を受けることが確認されており、WCD9370/9390/9395やWCN3950/6740なども対象となっている。Qualcommはセキュリティ情報を公開し、影響を受ける製品の特定と対策を進めている。

影響を受けるQualcomm製品まとめ

Qualcommのセキュリティ情報の詳細はこちら

バッファオーバーフローについて

バッファオーバーフローとは、プログラムが確保したメモリ領域（バッファ）を超えてデータを書き込んでしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ領域の境界チェックが不適切な場合に発生
• システムのクラッシュや任意のコード実行につながる可能性
• 情報漏洩やシステム制御の乗っ取りのリスクがある

今回のQualcommの脆弱性では、IPAの統計処理においてバッファサイズのチェックが適切に行われていないことが原因となっている。アクティブなクライアントが登録されていない状態でメモリ破損が発生する可能性があり、攻撃者によって悪用された場合、情報の漏洩や改ざんなどのセキュリティリスクが生じる可能性がある。

Snapdragonプラットフォームの脆弱性に関する考察

Qualcommの主力製品であるSnapdragonプラットフォームに影響を及ぼす脆弱性の発見は、モバイルデバイスのセキュリティ対策の重要性を改めて浮き彫りにしている。特にローカルからの攻撃で特権不要かつユーザー操作なしで実行可能という特徴は、攻撃の容易さを示唆しており、早急な対策が求められるだろう。

今後の課題として、IPAの統計処理に関する実装の見直しと、クライアント登録状態の適切な管理が挙げられる。メモリ管理の厳格化やバッファサイズの検証強化など、基本的なセキュリティ対策の徹底が必要となっており、これらの対策をQualcommの開発プロセスに組み込むことが求められている。

また、モバイルプラットフォームのセキュリティ強化には、ハードウェアとソフトウェアの両面からのアプローチが不可欠だ。Qualcommには今回の脆弱性を教訓として、より包括的なセキュリティ対策の実装と、迅速な脆弱性対応の体制構築が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-21464 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-21464, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧