MediaTek Security Bulletin Highlights High Severity Vulnerabilities in Mobile Chipsets
2024/11/04 SecurityOnline — 世界的な半導体企業である MediaTek が公開したのは、同社のチップセット製品ライン全体に影響する、複数の脆弱性に関するセキュリティ情報である。これらの脆弱性が影響を及ぼすデバイスには、スマートフォン/タブレット/AIoT デバイス/スマート・ディスプレイなどがある。これらの脆弱性の深刻度は Medium〜High であり、特権の拡大/任意のコード実行/情報漏えいなどが引き起こされる可能性がある。
深刻度の高い脆弱性がもたらす重大なリスク
特に懸念されるのは、以下の2つの高深刻度の脆弱性である:
- CVE-2024-20104:DA における境界外書き込み
この脆弱性は、MT6781/MT6789/MT6835 などのチップセットに存在する。この、DA コンポーネントの欠陥を悪用する攻撃者は、特権を昇格させる可能性を手にする。この脆弱性は悪用を成功させる前提として、ユーザーによる操作が必要になる。影響を受ける OS には、Android 12-15/openWRT 19.07/Yocto 4.0/RDK-B 22Q3 が含まれる。 - CVE-2024-20106:m4u のタイプ・コンフュージョン
この脆弱性は、ユーザーによる操作を必要とせずに、悪用される可能性があるため、より大きなリスクをもたらすと予測される。m4u コンポーネントのタイプ・コンフュージョンの脆弱性により、システム特権で任意のコード実行を達成する攻撃者により、デバイス全体が危険にさらされるという可能性が生じる。MT6739/MT6761/MT6765 などのチップセットが影響を受けるが、Android 12-15 を実行しているデバイスでの影響が顕著だとされる。
中程度の深刻度の脆弱性にも注意を!
さらに、MediaTek のアドバイザリでは、複数の Medium レベルの脆弱性についても詳述されている。これらは、DA/atci/ccu/isp/mms/KeyInstall などの各種コンポーネントにおける、境界外読み取り/書き込みの脆弱性に関するものである。悪用が生じると、情報漏洩/特権昇格/サービス拒否状態などにつながる可能性がある。
脆弱性の緩和/修復
すでに MediaTek は、必要となるパッチを、デバイス製造業者に対して提供している。ユーザーに対して強く推奨されるのは、デバイス・ベンダーから最新のセキュリティ・アップデートが提供され次第、速やかにインストールすることだ。製造業者に求められるのは、パッチ適用プロセスを早急に進め、顧客を保護することである。
詳細情報
影響を受けるチップセットや OS のバージョンといった、それぞれの脆弱性に関する詳細情報は、公式 MediaTek 製品セキュリティ情報に掲載されている。
MediaTek チップセットに複数の脆弱性とのことです。このセットを利用するベンダーや OEM が対応しないことには、一般のユーザーは対応のしようがありません。したがって、継続してセキュリティを中止する必要があります。よろしければ、MediaTek で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.