Critical Vulnerabilities in QNX Software Development Platform Image Codecs Expose Systems to Attacks
2025/01/19 SecurityOnline — 安全性が重要視される業界において、広範に使用されているリアルタイム・オペレーティング・システム BlackBerry QNX の Software Development Platform (SDP) が、最近のセキュリティ・アドバイザリの対象となっている。このアドバイザリ QNX-2024-003 では、TIFF/PCX イメージ・コーデックの複数の脆弱性について詳細に説明されており、情報漏洩/サービス拒否 (DoS)/リモート・コード実行 (RCE) などの重大なリスクが生じると警告している。
これらの脆弱性は、CVE-2024-48854/CVE-2024-48855/CVE-2024-48856/CVE-2024-48857/CVE-2024-48858 として追跡されており、CVSS スコアは最高で 9.8 に達する。
一連の脆弱性が影響を及ぼす範囲は、QNX SDP のバージョン 8.0/7.1/7.0 である。同社のアドバイザリには、「これらの脆弱性を悪用する攻撃者は、悪意を持って作成した TIFF/PCX 形式のイメージ・ファイルを解析するよう、ターゲット・システムを誘導する必要がある」と記されている。その結果生じる影響は、以下のとおりである。
- 情報漏洩:CVE-2024-48854/CVE-2024-48855:攻撃者は影響を受けるプロセスのコンテキスト内で、機密データにアクセスできる。
- サービス拒否 (DoS):CVE-2024-48857/CVE-2024-48858:アプリケーションをクラッシュさせ、システムの可用性を損なう可能性がある。
- リモート コード実行 (RCE):CVE-2024-48856:悪用に成功した攻撃者は、任意のコードを実行し、システム全体を危険にさらす可能性を手にする。
BlackBerry は、「これらの脆弱性の悪用について、QNX は認識していない」と述べているが、重要なシステムにおけるリスクを軽減すべきであると、緊急性を強調している。
すでに BlackBerry は、更新されたイメージ・コーデックをリリースし、一連の脆弱性に対処している:
- QNX SDP 8.0: バージョン 0.0.1.00077T202410011913L
- QNX SDP 7.1: バージョン 0.0.7.00759T202410010845L
- QNX SDP 7.0: バージョン 7.0.7094.L202410281606
上記のアップデートは、QNX Software Center からダウンロードできる。影響を受けるユーザーに対して BlackBerry が推奨するのは、それらの更新を速やかに適用することである。
すぐに更新できないケースのために、BlackBerry は以下を推奨している:
- 権限を制限する:潜在的な損害を回避するために、イメージ・コーデックを使用するプロセスを、Superuser 以外のモードで実行する。
- 信頼できないファイルの解析を避ける:検証されていないソースからのイメージ・ファイルを、システムで処理しないようにする。
- システムの動作を監視する:監視ソリューションを導入して、イメージ解析に関連する異常なアクティビティを検出する。
BlackBerry QNX の複数の脆弱性が FIX しましたが、どれも CVSS 値が高いですね。広範囲への影響が懸念されます。ご利用のチームは、ご注意ください。前回の BlackBerry QNX 関連の記事は、2024/06/12 の「BlackBerry QNX SDP の脆弱性 CVE-2024-35213 が FIX:DoS 攻撃やコード実行が生じる恐れ」です。よろしければ、BlackBerry QNX で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.