セキュリティ

SECURITY

公開：2025-02-07

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデルに影響の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MediaTekプロセッサに特権昇格の脆弱性が発見
• Android 12.0から15.0の複数のプロセッサに影響
• 物理アクセスが必要で追加の実行権限は不要

MediaTekプロセッサの脆弱性【CVE-2025-20639】に要注意

MediaTek社は2025年2月3日、同社のプロセッサに特権昇格の脆弱性【CVE-2025-20639】が発見されたことを公開した。脆弱性はDAにおける境界チェックの欠如に起因し、攻撃者が物理アクセスを得た場合に特権昇格が可能になる状態であることが判明している。^[1]

対象となるプロセッサはMT6739やMT6761、MT6765、MT6768、MT6771など40以上のモデルに及び、Android 12.0から15.0の環境に影響を与える可能性がある。脆弱性の深刻度はCVSS v3.1で6.2（Medium）と評価され、攻撃には物理アクセスと利用者の操作が必要となるだろう。

MediaTek社はこの脆弱性に対するパッチIDをALPS09291146として、Issue IDをMSV-2060として特定した。脆弱性の種類はCWE-787（Out-of-bounds Write）に分類され、SSVCの評価では技術的影響は部分的であり、自動化された攻撃は不可能とされている。

MediaTekプロセッサの脆弱性詳細

セキュリティ情報の詳細はこちら

Out-of-bounds Writeについて

Out-of-bounds Writeとは、プログラムが割り当てられたバッファやアレイの境界を超えてデータを書き込む脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ破壊によるシステムの不安定化
• 任意のコード実行の可能性
• 権限昇格やサービス停止の原因

MediaTekプロセッサで発見された脆弱性では、DAにおける境界チェックの欠如によってOut-of-bounds Writeが発生する可能性がある。この脆弱性は物理アクセスと利用者の操作が必要であり、追加の実行権限は不要だが、攻撃が成功した場合はローカルでの特権昇格につながる可能性が存在する。

MediaTekプロセッサの脆弱性に関する考察

MediaTekプロセッサの脆弱性は物理アクセスが必要という点で、リモートからの攻撃リスクは限定的である。しかし、スマートフォンの紛失や盗難などの状況下では深刻な脅威となる可能性があり、特に企業の機密情報を扱うデバイスでは注意が必要だろう。

この脆弱性に対する根本的な解決には、メモリアクセスの厳格な制御と境界チェックの徹底が不可欠である。デバイスメーカーには迅速なセキュリティパッチの適用が求められ、ユーザーには最新のアップデートの適用と物理的なセキュリティ対策の徹底が推奨されるだろう。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化が期待される。特にIoTデバイスの普及に伴い、プロセッサレベルのセキュリティがより重要になってくるため、MediaTek社にはより堅牢なセキュリティ設計の実装が求められる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-20639, (参照 25-02-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧