QualcommがSnapdragon製品の脆弱性CVE-2025-21459を公開、高リスクのバッファオーバーリードに対処
スポンサーリンク
記事の要約
- QualcommがWLANホスト通信のバッファオーバーリード脆弱性CVE-2025-21459を公開
- Snapdragon製品の一部で、ML IEのSTAプロファイル解析中に一時的なDoSが発生する脆弱性
- CVSSスコア7.5の高リスクと評価され、複数のSnapdragonプラットフォームが影響を受ける
スポンサーリンク
Qualcommのセキュリティ情報公開
Qualcomm社は2025年5月6日、WLANホスト通信におけるバッファオーバーリード脆弱性CVE-2025-21459に関するセキュリティ情報を公開した。この脆弱性は、ML IE(Multicast/Broadcast IE)のSTA(Station)プロファイル解析中に発生する可能性があり、一時的なサービス運用停止(DoS)を引き起こす可能性があるのだ。
影響を受けるのはSnapdragon Auto、Snapdragon CCW、Snapdragon Computeなど、複数のSnapdragonプラットフォームである。具体的にはAR8035、FastConnect 6700、FastConnect 6900など、多数のチップセットが影響を受けることが確認されている。Qualcomm社は、この脆弱性に対する修正プログラムを提供し、ユーザーへのアップデートを推奨している。
この脆弱性は、CVSS v3.1で7.5という高リスクのスコアが付けられている。ネットワーク経由で攻撃が可能であり、攻撃者は特別な権限を必要としないため、リスクは高いと判断されている。迅速な対応が求められる重要なセキュリティ問題だ。
影響を受けるSnapdragon製品
| 製品名 | 影響 |
|---|---|
| AR8035 | affected |
| FastConnect 6700 | affected |
| FastConnect 6900 | affected |
| FastConnect 7800 | affected |
| Flight RB5 5G Platform | affected |
| QAM8255P | affected |
| QAM8295P | affected |
| QAM8620P | affected |
| QAM8650P | affected |
| QAM8775P | affected |
| QAMSRV1H | affected |
| QAMSRV1M | affected |
| QCA6391 | affected |
| QCA6554A | affected |
| QCA6564AU | affected |
| QCA6574 | affected |
| QCA6574A | affected |
| QCA6574AU | affected |
| QCA6584AU | affected |
| QCA6595 | affected |
| QCA6595AU | affected |
| QCA6678AQ | affected |
| QCA6688AQ | affected |
| QCA6696 | affected |
| QCA6698AQ | affected |
| QCA6777AQ | affected |
| QCA6787AQ | affected |
| QCA6797AQ | affected |
| QCA8081 | affected |
| QCA8337 | affected |
| QCC2073 | affected |
| QCC2076 | affected |
| QCC710 | affected |
| QCM5430 | affected |
| QCM6490 | affected |
| QCM8550 | affected |
| QCN6224 | affected |
| QCN6274 | affected |
| QCN9011 | affected |
| QCN9012 | affected |
| QCN9274 | affected |
| QCS5430 | affected |
| QCS615 | affected |
| QCS6490 | affected |
| QCS7230 | affected |
| QCS8250 | affected |
| QCS8300 | affected |
| QCS8550 | affected |
| QCS9100 | affected |
| QFW7114 | affected |
| QFW7124 | affected |
| QMP1000 | affected |
| QRB5165N | affected |
| Qualcomm Video Collaboration VC3 Platform | affected |
| Qualcomm Video Collaboration VC5 Platform | affected |
| Robotics RB5 Platform | affected |
| SA6155P | affected |
| SA7255P | affected |
| SA7775P | affected |
| SA8155P | affected |
| SA8195P | affected |
| SA8255P | affected |
| SA8295P | affected |
| SA8620P | affected |
| SA8650P | affected |
| SA8770P | affected |
| SA8775P | affected |
| SA9000P | affected |
| SG8275P | affected |
| SM6650 | affected |
| SM6650P | affected |
| SM7635 | affected |
| SM7675 | affected |
| SM7675P | affected |
| SM8550P | affected |
| SM8635 | affected |
| SM8635P | affected |
| SM8650Q | affected |
| SM8735 | affected |
| SM8750 | affected |
| SM8750P | affected |
| Snapdragon 8 Gen 2 Mobile Platform | affected |
| Snapdragon 8 Gen 3 Mobile Platform | affected |
| Snapdragon 8+ Gen 2 Mobile Platform | affected |
| Snapdragon AR1 Gen 1 Platform | affected |
| Snapdragon AR1 Gen 1 Platform "Luna1" | affected |
| Snapdragon AR2 Gen 1 Platform | affected |
| Snapdragon Auto 5G Modem-RF Gen 2 | affected |
| Snapdragon X72 5G Modem-RF System | affected |
| Snapdragon X75 5G Modem-RF System | affected |
| SRV1H | affected |
| SRV1L | affected |
| SRV1M | affected |
| SSG2115P | affected |
| SSG2125P | affected |
| SXR1230P | affected |
| SXR2230P | affected |
| SXR2250P | affected |
| SXR2330P | affected |
| Vision Intelligence 400 Platform | affected |
| WCD9335 | affected |
| WCD9340 | affected |
| WCD9341 | affected |
| WCD9370 | affected |
| WCD9375 | affected |
| WCD9378 | affected |
| WCD9380 | affected |
| WCD9385 | affected |
| WCD9390 | affected |
| WCD9395 | affected |
| WCN3990 | affected |
| WCN6450 | affected |
| WCN6650 | affected |
| WCN6755 | affected |
| WCN7750 | affected |
| WCN7860 | affected |
| WCN7861 | affected |
| WCN7880 | affected |
| WCN7881 | affected |
| WSA8830 | affected |
| WSA8832 | affected |
| WSA8835 | affected |
| WSA8840 | affected |
| WSA8845 | affected |
| WSA8845H | affected |
スポンサーリンク
CVE-2025-21459脆弱性に関する解説
CVE-2025-21459は、Qualcomm Snapdragon製品におけるWLANホスト通信の脆弱性である。この脆弱性は、バッファオーバーリードという、プログラムがメモリ領域の境界を超えて読み込んでしまうエラーに起因する。
- バッファオーバーリードとはメモリ領域外への不正アクセス
- DoS攻撃につながる可能性がある
- 迅速なパッチ適用が重要
具体的には、マルチキャスト/ブロードキャストIE(インターネットプロトコル拡張)内のSTAプロファイルの解析処理において、バッファの境界チェックが不十分なため、攻撃者が意図的に不正なデータを送り込むことで、システムがクラッシュしたり、サービスが停止したりする可能性があるのだ。
CVE-2025-21459に関する考察
Qualcommによる迅速な脆弱性情報の公開と修正プログラムの提供は評価できる点だ。早期発見と対応によって、大規模な被害を未然に防ぐことが期待できる。しかし、膨大な数のSnapdragon搭載機器へのアップデートには時間がかかり、全ての機器が迅速にアップデートされるとは限らないだろう。
アップデートが遅れる機器は、DoS攻撃の標的となりやすい。そのため、企業や個人ユーザーは、アップデートを優先的に行う必要がある。また、ネットワークセキュリティの強化、侵入検知システムの導入なども有効な対策となるだろう。
今後、Qualcommには、より厳格なセキュリティテスト体制の構築と、アップデートの容易性を向上させるための取り組みが期待される。さらに、IoT機器など、アップデートが困難な機器に対する対策も必要となるだろう。
参考サイト
- ^ CVE. 「CVE Record: CVE-2025-21459」. https://www.cve.org/CVERecord?id=CVE-2025-21459, (参照 25-05-15). 8325
- Intel. https://www.intel.co.jp/content/www/jp/ja/homepage.html
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 201206030 Novel 3.5.0の深刻な脆弱性CVE-2025-4036が公開、不適切なアクセス制御が原因
- Airbnbが2025年夏季アップグレードを発表、宿泊以外も充実したサービス提供へ
- カスタマークラウド、AIエージェントブラウザFellou活用研究サークル始動を発表
- 株式会社九地良、AI書類処理システム「くじらデータ入力AIエージェント」正式リリース、業務効率化を実現
- AMTT Hotel Broadband Operation System 1.0におけるコマンドインジェクション脆弱性CVE-2025-3983が公開
- AppleがAirPlay、CarPlayの脆弱性CVE-2025-30422を修正、最新バージョンへのアップデートを推奨
- AppleがAirPlay、CarPlayの脆弱性CVE-2025-24132を修正、メモリ処理改善でセキュリティ強化
- AWSが第2世代AWS Outpostsラックを発表、オンプレミス環境のパフォーマンス向上を実現
- baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-3970が公開、迅速な対策が必要
- Cato NetworksがCatoClientの脆弱性CVE-2025-3886を公開、macOSユーザーへのアップデート推奨
スポンサーリンク
