セキュリティ

SECURITY

公開：2025-05-11

【CVE-2025-0072】ArmのGPUカーネルドライバーに深刻な脆弱性、特権なしで解放済みメモリにアクセス可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ArmのValhall GPUとArm 5th Gen GPUに脆弱性
• 複数バージョンでメモリ処理に関する脆弱性が発見
• 特権のないローカルユーザーが解放済みメモリにアクセス可能

ArmのGPUカーネルドライバーにUse After Free脆弱性

Arm社は2025年5月2日、同社のValhall GPUカーネルドライバーとArm 5th Gen GPUアーキテクチャカーネルドライバーにUse After Free脆弱性が存在することを公開した。この脆弱性は【CVE-2025-0072】として識別されており、特権のないローカルユーザープロセスが不適切なGPUメモリ処理操作を実行し解放済みメモリにアクセスできる問題が存在している。^[1]

Valhall GPUカーネルドライバーではr29p0からr49p3までのバージョンおよびr50p0からr53p0までのバージョンが影響を受けることが判明している。同様にArm 5th Gen GPUアーキテクチャカーネルドライバーでもr41p0からr49p3までのバージョンおよびr50p0からr53p0までのバージョンに脆弱性が存在することが確認された。

この脆弱性はGitHub Security LabのスタッフであるMan Yue Moによって発見され報告された。Arm社は既にr49p4とr54p0以降のバージョンで修正を実施しており、影響を受けるバージョンを使用しているユーザーに対して最新バージョンへのアップデートを推奨している。

GPUカーネルドライバーの脆弱性まとめ

Use After Freeについて

Use After Freeとは、既に解放されたメモリ領域に対してアクセスを試みる脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによる情報漏洩の可能性
• メモリ破壊によるシステムの不安定化や権限昇格のリスク
• 不適切なメモリ管理に起因する深刻なセキュリティ上の問題

GPUドライバーにおけるUse After Free脆弱性は、グラフィックス処理に関連するメモリ管理の問題を引き起こす可能性がある。特にValhall GPUとArm 5th Gen GPUのカーネルドライバーでは、特権のないローカルユーザープロセスが解放済みメモリにアクセスできる状態となり、システムのセキュリティを著しく低下させる要因となっている。

GPUカーネルドライバーの脆弱性に関する考察

GPUドライバーにおけるメモリ管理の脆弱性は、モバイルデバイスやPC、IoTデバイスなど幅広い製品に影響を及ぼす可能性がある重大な問題だ。特にArmのGPUは多くのデバイスに採用されているため、この脆弱性の影響範囲は非常に広範囲に及ぶことが予想される。また、特権のないローカルユーザーでも悪用可能という点で、攻撃の敷居が低いことも深刻な問題となっている。

今後は同様の脆弱性を防ぐため、GPUドライバーのメモリ管理機能の設計段階からセキュリティを考慮した開発が求められる。特にメモリの解放とアクセス制御に関する厳密な検証プロセスの確立や、自動化されたセキュリティテストの導入が重要になってくるだろう。また、デバイスメーカーとの連携を強化し、脆弱性が発見された際の迅速なアップデート配信体制の整備も必要不可欠となる。

長期的には、GPUドライバーのセキュリティアーキテクチャ全体を見直し、メモリ管理の安全性を高める新しい設計パターンの採用も検討すべきだ。特にメモリアクセスの制御機構やサンドボックス化などの技術を活用し、たとえ脆弱性が存在しても影響を最小限に抑えられる仕組みの実装が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-0072」. https://www.cve.org/CVERecord?id=CVE-2025-0072, (参照 25-05-11).
2420

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧