QualcommがSnapdragon製品のセキュリティ脆弱性CVE-2025-21467を公開、境界外書き込みに対応
スポンサーリンク
記事の要約
- Qualcommがコンピュータビジョンにおける境界外書き込みの脆弱性を公開
- CVE-2025-21467として、深刻度HIGHの脆弱性が報告された
- Snapdragonシリーズなど複数の製品に影響
スポンサーリンク
Qualcommのセキュリティ情報公開
Qualcomm社は2025年5月6日、コンピュータビジョンにおける境界外書き込みに関するセキュリティ情報を公開した。この脆弱性は、共有キューからファームウェアの応答を読み取る際のメモリ破損を引き起こす可能性があるのだ。
CVE-2025-21467として識別されたこの脆弱性は、深刻度HIGH(CVSSスコア7.8)と評価されている。影響を受ける製品はSnapdragon Auto、Snapdragon CCW、Snapdragon Compute、Snapdragon Connectivity、Snapdragon Consumer IOT、Snapdragon Industrial IOT、Snapdragon Mobile、Snapdragon Wearablesなど、幅広いプラットフォームに及ぶ。
Qualcomm社は、影響を受ける特定のSnapdragonチップセットのバージョンを公開しており、ユーザーは該当する製品を使用している場合は、最新のセキュリティアップデートを適用する必要がある。迅速な対応が、潜在的なセキュリティリスクの軽減に繋がるだろう。
影響を受ける製品とバージョン
| 製品 | バージョン |
|---|---|
| CSRA6620 | - |
| CSRA6640 | - |
| FastConnect 6200 | - |
| FastConnect 6700 | - |
| FastConnect 6800 | - |
| FastConnect 6900 | - |
| FastConnect 7800 | - |
| Flight RB5 5G Platform | - |
| MDM9628 | - |
| QAM8295P | - |
| QCA6174A | - |
| QCA6391 | - |
| QCA6564A | - |
| QCA6564AU | - |
| QCA6574 | - |
| QCA6574A | - |
| QCA6574AU | - |
| QCA6595 | - |
| QCA6595AU | - |
| QCA6696 | - |
| QCA6698AQ | - |
| QCA9377 | - |
| QCM5430 | - |
| QCM6490 | - |
| QCN9011 | - |
| QCN9012 | - |
| QCS410 | - |
| QCS5430 | - |
| QCS610 | - |
| QCS6490 | - |
| QCS7230 | - |
| QRB5165M | - |
| QRB5165N | - |
| Qualcomm 215 Mobile Platform | - |
| Qualcomm Video Collaboration VC1 Platform | - |
| Qualcomm Video Collaboration VC3 Platform | - |
| Qualcomm Video Collaboration VC5 Platform | - |
| Robotics RB5 Platform | - |
| SA4150P | - |
| SA4155P | - |
| SA6145P | - |
| SA6150P | - |
| SA6155P | - |
| SA8145P | - |
| SA8150P | - |
| SA8155P | - |
| SA8195P | - |
| SA8295P | - |
| SD660 | - |
| SD865 5G | - |
| SM4125 | - |
| SM7250P | - |
| Smart Audio 400 Platform | - |
| Snapdragon 460 Mobile Platform | - |
| Snapdragon 660 Mobile Platform | - |
| Snapdragon 662 Mobile Platform | - |
| Snapdragon 680 4G Mobile Platform | - |
| Snapdragon 685 4G Mobile Platform (SM6225-AD) | - |
| Snapdragon 690 5G Mobile Platform | - |
| Snapdragon 750G 5G Mobile Platform | - |
| Snapdragon 765 5G Mobile Platform (SM7250-AA) | - |
| Snapdragon 765G 5G Mobile Platform (SM7250-AB) | - |
| Snapdragon 768G 5G Mobile Platform (SM7250-AC) | - |
| Snapdragon 8 Gen 1 Mobile Platform | - |
| Snapdragon 8 Gen 3 Mobile Platform | - |
| Snapdragon 8+ Gen 1 Mobile Platform | - |
| Snapdragon 865 5G Mobile Platform | - |
| Snapdragon 865+ 5G Mobile Platform (SM8250-AB) | - |
| Snapdragon 870 5G Mobile Platform (SM8250-AC) | - |
| Snapdragon 888 5G Mobile Platform | - |
| Snapdragon 888+ 5G Mobile Platform (SM8350-AC) | - |
| Snapdragon Auto 5G Modem-RF | - |
| Snapdragon W5+ Gen 1 Wearable Platform | - |
| Snapdragon X12 LTE Modem | - |
| Snapdragon X55 5G Modem-RF System | - |
| Snapdragon XR2 5G Platform | - |
| Snapdragon XR2+ Gen 1 Platform | - |
| SW5100 | - |
| SW5100P | - |
| SXR2230P | - |
| SXR2250P | - |
| WCD9326 | - |
| WCD9335 | - |
| WCD9341 | - |
| WCD9370 | - |
| WCD9375 | - |
| WCD9380 | - |
| WCD9385 | - |
| WCD9390 | - |
| WCD9395 | - |
| WCN3615 | - |
| WCN3660B | - |
| WCN3680B | - |
| WCN3910 | - |
| WCN3950 | - |
| WCN3980 | - |
| WCN3988 | - |
| WCN3990 | - |
| WSA8810 | - |
| WSA8815 | - |
| WSA8830 | - |
| WSA8832 | - |
| WSA8835 | - |
| WSA8840 | - |
| WSA8845 | - |
| WSA8845H | - |
スポンサーリンク
CWE-787境界外書き込みについて
CWE-787は、Common Weakness Enumeration(CWE)で定義されている一般的な脆弱性の1つである。境界外書き込みとは、プログラムがメモリ領域の境界を超えてデータを書込みを行うことを指す。
- メモリ領域の不正なアクセス
- プログラムクラッシュや予期せぬ動作
- セキュリティ上の脆弱性
この脆弱性は、攻撃者によって悪用され、システムのクラッシュやデータの改ざん、さらには遠隔コード実行などの深刻な被害につながる可能性がある。そのため、迅速なパッチ適用が不可欠だ。
CVE-2025-21467に関する考察
QualcommによるCVE-2025-21467の公開は、多くのデバイスに影響を与える可能性があるため、非常に重要だ。迅速なパッチ適用が求められる一方で、全てのユーザーがアップデートを適切に適用できるわけではないという課題も存在する。アップデートの普及率を高めるための啓発活動や、自動アップデート機能の強化などが重要となるだろう。
今後、同様の脆弱性が他の製品でも発見される可能性がある。そのため、Qualcomm社だけでなく、他の半導体メーカーもセキュリティ対策の強化に注力する必要がある。継続的なセキュリティ監査と脆弱性診断、そして迅速な対応体制の構築が求められる。
さらに、ユーザー側もセキュリティ意識を高め、定期的なソフトウェアアップデートを行うことが重要だ。セキュリティに関する情報を常に把握し、適切な対策を講じることで、リスクを最小限に抑えることができるだろう。
参考サイト
- ^ CVE. 「CVE Record: CVE-2025-21467」. https://www.cve.org/CVERecord?id=CVE-2025-21467, (参照 25-05-15). 7088
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 201206030 Novel 3.5.0の深刻な脆弱性CVE-2025-4036が公開、不適切なアクセス制御が原因
- Airbnbが2025年夏季アップグレードを発表、宿泊以外も充実したサービス提供へ
- カスタマークラウド、AIエージェントブラウザFellou活用研究サークル始動を発表
- 株式会社九地良、AI書類処理システム「くじらデータ入力AIエージェント」正式リリース、業務効率化を実現
- AMTT Hotel Broadband Operation System 1.0におけるコマンドインジェクション脆弱性CVE-2025-3983が公開
- AppleがAirPlay、CarPlayの脆弱性CVE-2025-30422を修正、最新バージョンへのアップデートを推奨
- AppleがAirPlay、CarPlayの脆弱性CVE-2025-24132を修正、メモリ処理改善でセキュリティ強化
- AWSが第2世代AWS Outpostsラックを発表、オンプレミス環境のパフォーマンス向上を実現
- baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-3970が公開、迅速な対策が必要
- Cato NetworksがCatoClientの脆弱性CVE-2025-3886を公開、macOSユーザーへのアップデート推奨
スポンサーリンク
