目次
記事の要約
- MediaTek製品のWLAN APドライバに情報漏洩の脆弱性
- リモートからの情報漏洩の可能性、ユーザー操作は不要
- 対象製品はMT7915、MT7916、MT7981など
MediaTek製WLAN APドライバに情報漏洩の脆弱性CVE-2025-20664が判明
MediaTek, Inc.は、同社のWLAN AP(Wireless Access Point)ドライバに、未処理の例外による情報漏洩の脆弱性CVE-2025-20664が存在することを2025年4月7日に発表した。この脆弱性を悪用されると、追加の実行権限なしに、リモート(近接/隣接)から情報が漏洩する可能性がある。
この脆弱性の悪用にはユーザーの操作は不要で、パッチIDはWCNCR00406217、Issue IDはMSV-2773とされている。CVSS(Common Vulnerability Scoring System)のスコアは7.5で、深刻度はHIGHと評価されている。
対象となる製品は、MT7915、MT7916、MT7981、MT7986、MT7990、MT7992であり、SDK release 7.4.0.1 (MT7915)、7.6.7.2 (MT7916, MT798X)、8.2.1.4 (MT799X)およびそれ以前のバージョンが影響を受ける。
脆弱性CVE-2025-20664の詳細
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-20664 |
| CWE | CWE-248 Uncaught Exception |
| CVSS v3.1スコア | 7.5 (HIGH) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権 | 不要 |
| ユーザー関与 | 不要 |
| 影響範囲 | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | なし |
| 可用性への影響 | なし |
CWE-248 Uncaught Exceptionについて
CWE-248は、プログラム内で例外が適切に処理されず、捕捉されない場合に発生する脆弱性のことを指す。主な特徴は以下の通りだ。
- プログラムの異常終了
- 情報漏洩の可能性
- サービス拒否(DoS)攻撃
未処理の例外は、プログラムの安定性を損ない、セキュリティリスクを高めるため、適切な例外処理の実装が重要となる。例外処理を適切に行うことで、プログラムの信頼性を向上させることができるだろう。
MediaTek製WLAN APドライバの脆弱性CVE-2025-20664に関する考察
MediaTek製WLAN APドライバにおけるCVE-2025-20664の脆弱性は、リモートからの情報漏洩を招く可能性があるため、早急な対応が求められる。特にユーザーの操作を必要としないため、攻撃者が容易に悪用できる点が懸念されるだろう。
今後は、ファームウェアの自動アップデート機能の強化や、脆弱性情報の迅速な提供が重要になる。また、開発段階でのセキュリティテストの徹底や、外部専門家による脆弱性診断の実施も有効な対策となるだろう。
MediaTekには、今回の脆弱性に関する詳細な技術情報の公開と、修正パッチの迅速な提供を期待したい。また、ユーザーに対しては、最新のセキュリティ情報に注意し、速やかにアップデートを適用することを推奨する。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-20664」.https://www.cve.org/CVERecord?id=CVE-2025-20664, (参照 2025-04-29).
