セキュリティ

SECURITY

公開：2025-02-07

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報漏洩の脆弱性が発見、Android 12.0から15.0に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MediaTekの複数のデバイスにローカル情報漏洩の脆弱性
• Android 12.0から15.0のバージョンに影響
• DAのバウンドチェック欠如による脆弱性を修正

MediaTekデバイスの脆弱性【CVE-2025-20643】が公開

MediaTek社は2025年2月3日、同社の複数のプロセッサに影響を与える脆弱性【CVE-2025-20643】を公開した。この脆弱性はDAにおけるバウンドチェックの欠如に起因しており、物理的なアクセス権を持つ攻撃者がシステム権限を取得した場合にローカル情報の漏洩につながる可能性がある。^[1]

影響を受けるデバイスはMT6739やMT6761、MT6765など40以上のプロセッサモデルに及び、Android 12.0から15.0までの複数のバージョンで問題が確認されている。脆弱性の深刻度はCVSS v3.1で5.7（MEDIUM）と評価され、攻撃の実行にはユーザーの操作が必要とされている。

MediaTek社はこの脆弱性に対してパッチID「ALPS09291146」を発行し、MSV-2056として管理されている。この問題はCWE-1295（不要な情報を露呈するデバッグメッセージ）に分類され、現在までに確認された攻撃の自動化の事例は報告されていない。

MediaTekデバイスの脆弱性詳細

バウンドチェックについて

バウンドチェックとは、プログラムが配列やバッファにアクセスする際に、その範囲が適切かどうかを確認する処理のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリアクセスの安全性を確保する重要な機能
• バッファオーバーフローなどの脆弱性を防止
• データの整合性と信頼性を維持する役割

バウンドチェックの欠如は、攻撃者によってメモリ領域外の情報が読み取られる可能性がある深刻な問題となる。本件のMediaTekデバイスにおける脆弱性も、DAでのバウンドチェック処理が適切に実装されていないことが原因で、システム権限を持つ攻撃者による情報漏洩のリスクが存在している。

MediaTekの脆弱性対応に関する考察

MediaTekの迅速な脆弱性の公開と対応は、セキュリティインシデントの透明性確保という観点で評価できる。しかし、影響を受けるデバイスが40機種以上に及ぶことから、パッチの適用や更新プログラムの配布には時間がかかる可能性が高いだろう。デバイスメーカーやキャリアとの連携が必要不可欠である。

今後の課題として、バウンドチェックなどの基本的なセキュリティ機能の実装漏れを防ぐための開発プロセスの見直しが重要となる。特にAndroidの新バージョンへの対応時には、既存の機能に対しても包括的なセキュリティレビューを実施する必要があるだろう。セキュリティ検証の自動化やCI/CDパイプラインへの組み込みも検討すべきだ。

MediaTekのプロセッサは多くのAndroidデバイスに採用されているため、エコシステム全体のセキュリティ向上が求められる。プロセッサレベルでのセキュリティ機能の強化に加え、デバイスメーカーやアプリケーション開発者向けのセキュリティガイドラインの整備も重要な課題となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-20643, (参照 25-02-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧