目次
記事の要約
- Qualcommがコンピュータビジョンにおける境界外書き込みの脆弱性を公開
- CVE-2025-21467として、深刻度HIGHの脆弱性が報告された
- Snapdragonシリーズなど複数の製品に影響
Qualcommのセキュリティ情報公開
Qualcomm社は2025年5月6日、テクノロジービジョンにおける境界外書き込みの脆弱性に関するセキュリティ情報を公開した。この脆弱性は、共有キューからファームウェアの応答を読み取る際のメモリ破損を引き起こす可能性があるのだ。
CVE-2025-21467として識別されたこの脆弱性は、CVSSスコア7.8で深刻度HIGHと評価されている。影響を受ける製品はSnapdragon Auto、Snapdragon CCW、Snapdragon Compute、Snapdragon Connectivity、Snapdragon Consumer テクノロジー、Snapdragon Industrial テクノロジー、Snapdragon Mobile、Snapdragon Wearablesなど、幅広いプラットフォームに及ぶ。
Qualcomm社は、影響を受ける特定のSnapdragonチップセットのバージョンを公開し、修正パッチの提供を予定している。ユーザーは、Qualcomm社の公式ウェブサイトで最新のセキュリティ情報を確認し、適切な対策を講じる必要がある。
影響を受ける製品とバージョン
| 製品 | 影響を受けるバージョン |
|---|---|
| CSRA6620 | – |
| CSRA6640 | – |
| FastConnect 6200 | – |
| FastConnect 6700 | – |
| FastConnect 6800 | – |
| FastConnect 6900 | – |
| FastConnect 7800 | – |
| Flight RB5 5G Platform | – |
| MDM9628 | – |
| QAM8295P | – |
| QCA6174A | – |
| QCA6391 | – |
| QCA6564A | – |
| QCA6564AU | – |
| QCA6574 | – |
| QCA6574A | – |
| QCA6574AU | – |
| QCA6595 | – |
| QCA6595AU | – |
| QCA6696 | – |
| QCA6698AQ | – |
| QCA9377 | – |
| QCM5430 | – |
| QCM6490 | – |
| QCN9011 | – |
| QCN9012 | – |
| QCS410 | – |
| QCS5430 | – |
| QCS610 | – |
| QCS6490 | – |
| QCS7230 | – |
| QRB5165M | – |
| QRB5165N | – |
| Qualcomm 215 Mobile Platform | – |
| Qualcomm Video Collaboration VC1 Platform | – |
| Qualcomm Video Collaboration VC3 Platform | – |
| Qualcomm Video Collaboration VC5 Platform | – |
| Robotics RB5 Platform | – |
| SA4150P | – |
| SA4155P | – |
| SA6145P | – |
| SA6150P | – |
| SA6155P | – |
| SA8145P | – |
| SA8150P | – |
| SA8155P | – |
| SA8195P | – |
| SA8295P | – |
| SD660 | – |
| SD865 5G | – |
| SM4125 | – |
| SM7250P | – |
| Smart Audio 400 Platform | – |
| Snapdragon 460 Mobile Platform | – |
| Snapdragon 660 Mobile Platform | – |
| Snapdragon 662 Mobile Platform | – |
| Snapdragon 680 4G Mobile Platform | – |
| Snapdragon 685 4G Mobile Platform (SM6225-AD) | – |
| Snapdragon 690 5G Mobile Platform | – |
| Snapdragon 750G 5G Mobile Platform | – |
| Snapdragon 765 5G Mobile Platform (SM7250-AA) | – |
| Snapdragon 765G 5G Mobile Platform (SM7250-AB) | – |
| Snapdragon 768G 5G Mobile Platform (SM7250-AC) | – |
| Snapdragon 8 Gen 1 Mobile Platform | – |
| Snapdragon 8 Gen 3 Mobile Platform | – |
| Snapdragon 8+ Gen 1 Mobile Platform | – |
| Snapdragon 865 5G Mobile Platform | – |
| Snapdragon 865+ 5G Mobile Platform (SM8250-AB) | – |
| Snapdragon 870 5G Mobile Platform (SM8250-AC) | – |
| Snapdragon 888 5G Mobile Platform | – |
| Snapdragon 888+ 5G Mobile Platform (SM8350-AC) | – |
| Snapdragon Auto 5G Modem-RF | – |
| Snapdragon W5+ Gen 1 Wearable Platform | – |
| Snapdragon X12 LTE Modem | – |
| Snapdragon X55 5G Modem-RF System | – |
| Snapdragon XR2 5G Platform | – |
| Snapdragon XR2+ Gen 1 Platform | – |
| SW5100 | – |
| SW5100P | – |
| SXR2230P | – |
| SXR2250P | – |
| WCD9326 | – |
| WCD9335 | – |
| WCD9341 | – |
| WCD9370 | – |
| WCD9375 | – |
| WCD9380 | – |
| WCD9385 | – |
| WCD9390 | – |
| WCD9395 | – |
| WCN3615 | – |
| WCN3660B | – |
| WCN3680B | – |
| WCN3910 | – |
| WCN3950 | – |
| WCN3980 | – |
| WCN3988 | – |
| WCN3990 | – |
| WSA8810 | – |
| WSA8815 | – |
| WSA8830 | – |
| WSA8832 | – |
| WSA8835 | – |
| WSA8840 | – |
| WSA8845 | – |
| WSA8845H | – |
CWE-787境界外書き込みについて
CWE-787は、Common Weakness Enumeration(CWE)で定義されている一般的な脆弱性の1つである。境界外書き込みとは、プログラムがメモリ領域の境界を超えてデータを書込みを行うことで発生する脆弱性だ。
- メモリ破損を引き起こす
- クラッシュや予期せぬ動作の原因となる
- 攻撃者によるコード実行を許容する可能性がある
この脆弱性は、プログラムのロジック上のエラーや、入力値の検証不足によって発生する。適切な入力値の検証やメモリ管理を行うことで、この脆弱性を防ぐことが可能である。
CVE-2025-21467に関する考察
QualcommによるCVE-2025-21467の公開は、迅速な対応と情報開示という点で評価できる。多くの製品に影響を与える可能性があるため、早期の修正パッチの提供は重要だ。しかし、全てのユーザーが速やかにアップデートを行うとは限らないため、脆弱性を悪用した攻撃が発生するリスクも残るだろう。
今後、この脆弱性を利用した攻撃手法が公開される可能性がある。そのため、Qualcommは継続的な監視と、必要に応じて追加のセキュリティパッチの提供を行う必要がある。また、ユーザーに対しても、セキュリティアップデートの重要性と、アップデート方法に関する分かりやすい情報を提供することが重要だ。
さらに、将来的なセキュリティ強化のため、開発プロセスにおけるセキュリティテストの強化や、静的・動的解析ツールの導入などを検討すべきである。これにより、同様の脆弱性の発生を未然に防ぐことが期待できる。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-21467」.https://www.cve.org/CVERecord?id=CVE-2025-21467, (参照 2025-05-15).
