目次
記事の要約
- Qualcommがコンピュータビジョンにおける境界外書き込みの脆弱性を公開
- CVE-2025-21468として、深刻度HIGHの脆弱性が報告された
- Snapdragonシリーズの複数の製品に影響が及ぶ
Qualcommのセキュリティ脆弱性情報公開
Qualcomm社は2025年5月6日、テクノロジービジョンにおける境界外書き込みの脆弱性に関する情報を公開した。ファームウェアがバッファサイズを変更している間に、ドライバーがそのサイズを使用してバッファの末尾にヌル文字を書き込む際にメモリ破損が発生する脆弱性である。
この脆弱性は、CVE-2025-21468として識別されており、CVSSスコアは7.8で深刻度HIGHと評価されている。影響を受ける製品はSnapdragon Auto、Snapdragon CCWなど、Snapdragonシリーズの多数の製品に及ぶことが明らかになっている。
Qualcomm社は、この脆弱性に関する詳細な情報を公開し、影響を受ける製品のリストと対応策を提示している。ユーザーは、提供された情報に基づき、迅速な対応を行う必要があるのだ。
影響を受けるSnapdragon製品
| 製品名 | 影響 |
|---|---|
| AR8035 | affected |
| CSRA6620 | affected |
| CSRA6640 | affected |
| FastConnect 6200 | affected |
| FastConnect 6700 | affected |
| FastConnect 6900 | affected |
| FastConnect 7800 | affected |
| Flight RB5 5G Platform | affected |
| MDM9628 | affected |
| QAM8295P | affected |
| QCA6174A | affected |
| QCA6391 | affected |
| QCA6564A | affected |
| QCA6564AU | affected |
| QCA6574 | affected |
| QCA6574A | affected |
| QCA6574AU | affected |
| QCA6595 | affected |
| QCA6595AU | affected |
| QCA6696 | affected |
| QCA6698AQ | affected |
| QCA8081 | affected |
| QCA8337 | affected |
| QCA9377 | affected |
| QCM4490 | affected |
| QCM5430 | affected |
| QCM6490 | affected |
| QCM8550 | affected |
| QCN6024 | affected |
| QCN9011 | affected |
| QCN9012 | affected |
| QCN9024 | affected |
| QCN9274 | affected |
| QCS410 | affected |
| QCS4490 | affected |
| QCS5430 | affected |
| QCS610 | affected |
| QCS615 | affected |
| QCS6490 | affected |
| QCS7230 | affected |
| QCS8250 | affected |
| QCS8300 | affected |
| QCS8550 | affected |
| QCS9100 | affected |
| QMP1000 | affected |
| QRB5165M | affected |
| QRB5165N | affected |
| QSM8350 | affected |
| Qualcomm Video Collaboration VC1 Platform | affected |
| Qualcomm Video Collaboration VC3 Platform | affected |
| Qualcomm Video Collaboration VC5 Platform | affected |
| Robotics RB2 Platform | affected |
| Robotics RB5 Platform | affected |
| SA4150P | affected |
| SA4155P | affected |
| SA6145P | affected |
| SA6150P | affected |
| SA6155P | affected |
| SA8145P | affected |
| SA8150P | affected |
| SA8155P | affected |
| SA8195P | affected |
| SA8295P | affected |
| SA8530P | affected |
| SA8540P | affected |
| SA9000P | affected |
| SD 8 Gen1 5G | affected |
| SD888 | affected |
| SDX61 | affected |
| SG8275P | affected |
| SM6370 | affected |
| SM6650 | affected |
| SM6650P | affected |
| SM7315 | affected |
| SM7325P | affected |
| SM7635 | affected |
| SM7675 | affected |
| SM7675P | affected |
| SM8550P | affected |
| SM8635 | affected |
| SM8635P | affected |
| SM8650Q | affected |
| SM8735 | affected |
| SM8750 | affected |
| SM8750P | affected |
| Smart Audio 400 Platform | affected |
| Snapdragon 4 Gen 1 Mobile Platform | affected |
| Snapdragon 4 Gen 2 Mobile Platform | affected |
| Snapdragon 480 5G Mobile Platform | affected |
| Snapdragon 480+ 5G Mobile Platform (SM4350-AC) | affected |
| Snapdragon 695 5G Mobile Platform | affected |
| Snapdragon 778G 5G Mobile Platform | affected |
| Snapdragon 778G+ 5G Mobile Platform (SM7325-AE) | affected |
| Snapdragon 780G 5G Mobile Platform | affected |
| Snapdragon 782G Mobile Platform (SM7325-AF) | affected |
| Snapdragon 7c+ Gen 3 Compute | affected |
| Snapdragon 8 Gen 1 Mobile Platform | affected |
| Snapdragon 8 Gen 2 Mobile Platform | affected |
| Snapdragon 8 Gen 3 Mobile Platform | affected |
| Snapdragon 8+ Gen 1 Mobile Platform | affected |
| Snapdragon 8+ Gen 2 Mobile Platform | affected |
| Snapdragon 888 5G Mobile Platform | affected |
| Snapdragon 888+ 5G Mobile Platform (SM8350-AC) | affected |
| Snapdragon AR1 Gen 1 Platform | affected |
| Snapdragon AR1 Gen 1 Platform “Luna1” | affected |
| Snapdragon AR2 Gen 1 Platform | affected |
| Snapdragon Auto 5G Modem-RF | affected |
| Snapdragon W5+ Gen 1 Wearable Platform | affected |
| Snapdragon X12 LTE Modem | affected |
| Snapdragon X62 5G Modem-RF System | affected |
| Snapdragon X65 5G Modem-RF System | affected |
| SSG2115P | affected |
| SSG2125P | affected |
| SW5100 | affected |
| SW5100P | affected |
| SXR1230P | affected |
| SXR2230P | affected |
| SXR2250P | affected |
| SXR2330P | affected |
| TalynPlus | affected |
| Vision Intelligence 400 Platform | affected |
| WCD9335 | affected |
| WCD9341 | affected |
| WCD9370 | affected |
| WCD9375 | affected |
| WCD9378 | affected |
| WCD9380 | affected |
| WCD9385 | affected |
| WCD9390 | affected |
| WCD9395 | affected |
| WCN3910 | affected |
| WCN3950 | affected |
| WCN3980 | affected |
| WCN3988 | affected |
| WCN3990 | affected |
| WCN6450 | affected |
| WCN6650 | affected |
| WCN6740 | affected |
| WCN6755 | affected |
| WCN7750 | affected |
| WCN7860 | affected |
| WCN7861 | affected |
| WCN7880 | affected |
| WCN7881 | affected |
| WSA8810 | affected |
| WSA8815 | affected |
| WSA8830 | affected |
| WSA8832 | affected |
| WSA8835 | affected |
| WSA8840 | affected |
| WSA8845 | affected |
| WSA8845H | affected |
CWE-787境界外書き込み脆弱性について
この脆弱性はCWE-787、境界外書き込みに分類される。これは、プログラムがメモリ領域の境界を超えてデータを書込み、予期せぬ動作やクラッシュを引き起こす可能性がある脆弱性だ。
- メモリ領域の不正なアクセス
- プログラムのクラッシュ
- データの改ざん
境界外書き込みは、様々な攻撃手法の基盤となるため、セキュリティ上の深刻なリスクとなる。適切なメモリ管理と入力検証を行うことで、この脆弱性を防ぐことが重要だ。
CVE-2025-21468に関する考察
Qualcommによる迅速な脆弱性情報の公開は、ユーザーにとって大きなメリットだ。早期発見と対応によって、潜在的なリスクを最小限に抑えることが可能となる。しかし、膨大な数の影響を受ける製品を考慮すると、全てのユーザーへのパッチ適用には時間を要する可能性がある。
今後、この脆弱性を悪用した攻撃が発生する可能性も否定できない。攻撃者は、この脆弱性を突いてシステムに不正アクセスしたり、データを改ざんしたりする可能性があるだろう。そのため、Qualcommは迅速なパッチ提供だけでなく、ユーザーへの啓発活動も強化する必要がある。
将来的な対策としては、より堅牢なメモリ管理機構の開発や、静的・動的解析ツールによる脆弱性検出技術の向上などが考えられる。また、ファームウェアとドライバー間のインターフェースの設計を見直すことで、同様の脆弱性の発生を予防できる可能性もあるだろう。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-21468」.https://www.cve.org/CVERecord?id=CVE-2025-21468, (参照 2025-05-15).
