記事本文(要約)
Qualcommは、Adreno GPUの3つのバグ(CVE-2025-21479、CVE-2025-21480、CVE-2025-27038)が既にプロフェッショナルなハッカーにより悪用されていると警告しました。これらの脆弱性は限定的かつターゲットを絞った形で利用されている可能性があり、商業的なスパイウェア製品と関連していると考えられます。2つの脆弱性は「クリティカル」と評価され、CPUマイクロノードでの不適切な承認によるメモリ破壊を引き起こします。3つ目はChromeから発動可能な使用後解放のバグで、CSVSスコアはそれぞれ8.6と7.5です。Qualcommは、5月にはOEMや電話製造業者にパッチを提供しており、すぐにアップデートを適用するよう強く推奨しています。他にもDSPサービスやオーディオ、カメラドライバの脆弱性に対するパッチも含まれています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 02 Jun 2025 14:56:28 +0000
Original URL: https://www.securityweek.com/qualcomm-flags-exploitation-of-adreno-gpu-flaws-urges-oems-to-patch-urgently/
詳細な技術情報
以下は、QualcommがAdreno GPUに関する3つの脆弱性について警告したことを基にした、その詳細情報です。
CVE番号
- CVE-2025-21479
- CVE-2025-21480
- CVE-2025-27038
脆弱性の仕組み
- CVE-2025-21479およびCVE-2025-21480: これら2つの脆弱性は、GPUのミクロンードにおける不適切な認証に絡んだ問題で、これにより、不正なコマンドがメモリを破壊する可能性があります。このような脆弱性は、特権昇格や任意コードの実行を可能にし、特にクリティカルと評価されています。
- CVE-2025-27038: この脆弱性は、Adrenoドライバ内でのuse-after-freeの問題で、Chromeブラウザからトリガーされる可能性があります。ドライバ内の無効化されたメモリを誤って利用することで、攻撃者が任意のコードを実行できる環境を提供します。
攻撃手法
具体的な攻撃手法に関する詳細は提供されていませんが、「限定的かつターゲットを絞った攻撃」というフレーズから、これらの脆弱性が商業スパイウェア製品として利用される可能性があると推測されます。
潜在的な影響
- メモリ破損を利用した攻撃は、システムクラッシュ、データの破壊ないし漏洩、デバイスの不正操作、または他の悪意のある活動を許可する可能性があります。
- 特にクリティカルな脆弱性がデバイスの完全な制御を攻撃者に渡す可能性があるため、ユーザーのプライバシーへの重大な脅威です。
推奨される対策
- アップデートの適用: Qualcommは、デバイスメーカーやOEMがすぐに修正パッチをデバイスに適用するよう強く促しています。ユーザーは、自分のデバイスメーカーに連絡して、特定のデバイスに関するパッチの状況を確認することが重要です。
- デバイスのセキュリティ設定を強化: 一般的なセキュリティ対策として、不明なアプリやソースからのインストールを避け、正規のアプリストアを利用することが推奨されます。
- セキュリティソフトウェアの導入: 信頼できるセキュリティソフトウェアを利用して、デバイスを保護することも有効です。
その他の情報
Qualcommは、DSPサービスやオーディオ、コンピュータービジョン、カメラドライバ内の脆弱性にも修正対応を行っており、関連性のある他のチップセットについても修正パッチを提供しています。
