セキュリティ

SECURITY

公開：2025-02-05

【CVE-2024-20142】MediaTek製品に境界値チェックの欠如による特権昇格の脆弱性が発見、複数機種のAndroidデバイスに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MediaTek製品にV5 DAの脆弱性が発見
• 物理アクセスで特権昇格のリスクが判明
• Android 12.0から15.0の複数機種に影響

MediaTek製品のV5 DAに脆弱性、複数機種でリスク発生

MediaTek社は2025年2月3日、同社の多数の製品シリーズにおいてV5 DAの脆弱性【CVE-2024-20142】を発見したことを公開した。この脆弱性は境界値チェックの欠如により、デバイスへの物理アクセスを持つ攻撃者が特権昇格を実行できる可能性があることが明らかになっている。^[1]

影響を受ける製品はMT6739、MT6761、MT6765、MT6768、MT6771、MT6779、MT6781をはじめとする多数のMediaTek製チップセットで、Android 12.0から15.0までの複数バージョンに及んでいる。この脆弱性の深刻度はCVSS v3.1で6.2（中程度）と評価され、エクスプロイトには物理アクセスとユーザーの操作が必要となることが判明した。

MediaTek社はこの問題に対してパッチID「ALPS09291406」を発行し、MSV-2070として管理されている。CVSSベクトルによると、攻撃には物理的なアクセスが必要で複雑性は低いものの、認証情報は不要とされており、機密性と整合性への影響が高く、可用性への影響は限定的であることが示されている。

MediaTek製品の脆弱性詳細

MediaTek社のセキュリティ情報の詳細はこちら

境界値チェックについて

境界値チェックとは、プログラムにおけるデータ処理時に入力値や操作結果が許容範囲内にあるかを確認する重要なセキュリティ対策のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ破壊や情報漏洩を防止する基本的なセキュリティ機能
• バッファオーバーフローなどの攻撃を防ぐ重要な防御策
• データの整合性と信頼性を確保する品質管理手法

MediaTekのV5 DAにおける境界値チェックの欠如は、CWE-787（範囲外の書き込み）に分類される脆弱性として特定されている。このような境界値チェックの不備は、攻撃者によって悪用された場合にシステムの特権昇格につながる可能性があり、製品のセキュリティ上重大な影響をもたらすことが懸念されている。

MediaTek製品の脆弱性に関する考察

MediaTekのチップセットが様々なAndroidデバイスに広く採用されている現状を考えると、この脆弱性の影響範囲は非常に広範に及ぶ可能性がある。物理アクセスとユーザー操作が必要という条件は攻撃のハードルを上げているものの、一度悪用されると特権昇格による重大な被害が発生する可能性が否定できないだろう。

今後のMediaTek製品の開発において、境界値チェックなどの基本的なセキュリティ対策の徹底が求められる。特にAndroidの新バージョンへの対応時には、既存の機能に対しても包括的なセキュリティレビューを実施することが重要になってくるだろう。

また、エンドユーザーの観点からは、デバイスの物理的なセキュリティ確保の重要性が改めて浮き彫りになった。製造元からのセキュリティアップデートの提供と適用が不可欠であり、ユーザー自身のセキュリティ意識向上も求められる事態となっている。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-20142, (参照 25-02-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧