CVE-2024-35213: Critical Vulnerability Discovered in BlackBerry QNX SDP
2024/06/12 SecurityOnline — BlackBerry は、同社の QNX SDP (Software Development Platform) に関するセキュリティ・アドバイザリを発表し、SGI イメージ・コーデックに存在する深刻な脆弱性に対して、速やかにパッチを当てるようユーザーに呼びかけている。この脆弱性 CVE-2024-35213 (CVSS:9.0) の悪用に成功した攻撃者は、影響を受けるシステム上でサービス拒否 (DoS:denial-of-service) 状態を引き起こし、さらには、悪意のコードを実行する可能性を持つ。
この脆弱性は、SGI Image Codec 内の不適切な入力検証に起因する。攻撃者は標的のシステムを欺き、悪意を持って細工された SGI 形式の画像ファイルを処理させることで、この欠陥を悪用する可能性を手にする。BlackBerry は、この脆弱性の積極的な悪用を確認していないとのことだが、深刻な結果を招く可能性があるため、早急な対応が必要である。
脆弱性の影響および脆弱なシステム
この脆弱性 CVE-2024-35213 が悪用されると、システムのクラッシュ/画像処理サービスの中断/不正なコードの実行につながる可能性がある。この脆弱性は、QNX SDP バージョン 6.6/7.0/ 7.1 に影響する。幸いなことに、QNX SDP バージョン 8.0 は、この脆弱性の影響を受けない。
緩和策と回避策
BlackBerry は、悪用のリスクを低減するための緩和策を推奨している:
- パッチの適用:速やかに、QNX SDP をバージョン 8.0 以降にアップデートする。もしくは、修正プログラムを適用する。
- Image API の無効化:QNX Image API (libimg ライブラリ) を使用していないシステムは、この攻撃に対して脆弱ではない。したがって、このコンポーネントが運用に不可欠でない場合には、その無効化が有効である。
- 特権の制限:画像処理プロセスの実行においては、スーパーユーザー権限を除外することで、システム・アクセスを制限する。それにより、攻撃者が脆弱性を悪用できたとしても、その行動は制限された環境内で抑制され、攻撃が成功した場合の影響力を大幅に軽減できる。
QNX SDP ユーザーに対する推奨事項
バージョン 8.0 へと、直ちにアップグレードできない場合には、SGI 形式のイメージをデコードするプロセスの機能に対して、制限を加えることを強く推奨する。これらのプロセス、を必要な権限のみに制限することで、攻撃が成功した場合の被害を軽減できる。
QNX SDP が何なのかも分からずに、訳してしまいました。調べてみたら、BlackBerry から日本語で「次世代自動車/IoT システム向けのスケーラブルで高性能なソフトウェア開発プラットフォーム」と説明されていました。ご利用のチームは、ご注意ください。よろしければ、カテゴリ Industry も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.