セキュリティ

SECURITY

公開：2025-05-15

QualcommがSnapdragon Autoプラットフォームの脆弱性CVE-2025-21460を公開、メモリ破損リスクに対処

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Qualcommが自動車ソフトウェアプラットフォームの脆弱性を公開
• QNXベースのSnapdragon Autoプラットフォームに影響
• 不適切な入力検証によるメモリ破損の脆弱性CVE-2025-21460

Qualcommが自動車ソフトウェアプラットフォームの脆弱性を公開

Qualcomm社は2025年5月6日、自動車ソフトウェアプラットフォームにおける脆弱性CVE-2025-21460を公開した。この脆弱性は、QNXベースのSnapdragon Autoプラットフォームに影響を与えるもので、不適切な入力検証が原因でメモリ破損が発生する可能性があるのだ。

ゲストVMがバッファを制御している場合、メッセージ処理中にメモリ破損が発生する。その値は継続的に変更される可能性があり、システムの安定性やセキュリティに深刻な影響を与える可能性がある。Qualcomm社は、この脆弱性に対処するための対策を講じるよう呼びかけている。

影響を受ける製品には、Snapdragon Autoプラットフォームの複数のバージョンが含まれる。具体的には、QAM8255P、QAM8295P、QAM8620P、QAM8650P、QAM8775P、QAMSRV1H、QAMSRV1M、QCA6574A、QCA6574AU、QCA6595、QCA6595AU、QCA6688AQ、QCA6696、QCA6698AQ、SA6145P、SA6150P、SA6155、SA6155P、SA7255P、SA7775P、SA8145P、SA8150P、SA8155、SA8155P、SA8195P、SA8255P、SA8295P、SA8540P、SA8620P、SA8650P、SA8770P、SA8775P、SA9000P、SRV1H、SRV1L、SRV1Mなど多数の製品が挙げられる。

影響を受ける製品と脆弱性情報

Qualcommセキュリティ情報

CVE-2025-21460脆弱性の詳細

この脆弱性は、不適切な入力検証（CWE-20）によって発生するメモリ破損の問題だ。ゲストVMがバッファを制御している状況下で、メッセージ処理中に攻撃者がバッファの値を改ざんできる可能性がある。

• メモリ破損によるシステムクラッシュ
• 機密データへの不正アクセス
• システム制御の乗っ取り

CVSSスコアは7.8（HIGH）と評価されており、深刻なセキュリティリスクであると判断される。迅速な対策が必要だ。

CVE-2025-21460に関する考察

Qualcommによる迅速な脆弱性公開は、自動車業界のセキュリティ向上に貢献するだろう。早期発見と対応によって、潜在的な被害を最小限に抑えることが期待できる。しかし、膨大な数の影響を受ける製品へのアップデートには、時間とコストがかかる可能性がある。

アップデートの遅れや、アップデートが適用されない車両の存在は、新たなセキュリティリスクとなる可能性がある。そのため、Qualcommはアップデートの配布計画を明確にし、自動車メーカーとの連携を強化する必要があるだろう。また、将来的な脆弱性対策として、より堅牢な入力検証メカニズムの導入が求められる。

さらに、この脆弱性のようなメモリ破損の問題は、他の組み込みシステムにも存在する可能性がある。Qualcommは、この経験を活かし、他の製品におけるセキュリティ強化にも取り組むべきだ。自動車業界全体でのセキュリティ意識向上と、継続的なセキュリティ対策の強化が重要である。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-21460」. https://www.cve.org/CVERecord?id=CVE-2025-21460, (参照 25-05-15).
3705

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧