Qualcomm fixed three zero-days exploited in limited, targeted attacks
2025/06/02 SecurityAffairs — Qualcomm が公表したのは、限定的な標的型攻撃で悪用されている3件のゼロデイ脆弱性 CVE-2025-21479/CVE-2025-21480/CVE-2025-27038 への修正である。これら3件の脆弱性は、Google Android セキュリティチームにより報告されたものだ。Google Threat Analysis Group のレポートには、「いずれの脆弱性も、限定的かつ標的を絞った攻撃で、悪用されている可能性がある」と記されている。
これらの脆弱性は Adreno Graphics Processing Unit (GPU) ドライバーに影響を及ぼすものであり、2025年5月の時点で、OEM 向けに修正パッチが提供されている。Qualcomm が強く推奨するのは、影響を受けるデバイスに対して、可能な限り早急にアップデートを適用することだ。
これらの脆弱性の概要は以下のとおりである:
- CVE-2025-21479 (CVSS スコア:8.6)
この脆弱性は、グラフィックス・コンポーネントにおける認証不備の問題である。アドバイザリには、「不正なコマンドが GPU マイクロ・ノード上で実行され、メモリ破損が引き起こされる可能性がある」と記述されている。 - CVE-2025-21480 (CVSS スコア:8.6)
この脆弱性は、グラフィックス Windows に関する認証不備の問題であり、CVE-2025-21479 と同様に特定のコマンド・シーケンス中にメモリ破損が発生する。 - CVE-2025-27038 (CVSS スコア:7.5)
この脆弱性は、グラフィックスコンポーネントにおける解放後メモリ使用 (use-after-free) に起因するメモリ破損の脆弱性である。アドバイザリには、「Chrome において Adreno GPU ドライバーを使用してグラフィックスをレンダリングする際に問題が発生する」と記述されている。
上記の脆弱性を悪用した攻撃の詳細について、現時点で同社は詳細を明らかにしていない。
なお、2024年10月には、Qualcommの複数のチップセットにおける解放後メモリ使用の脆弱性 CVE-2024-43047 が、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加されている。
この脆弱性は、メモリ破損を引き起こす可能性のある、解放後メモリ使用のバグに起因している。デジタル信号プロセッサ (DSP) サービスに存在するゼロデイ脆弱性が、数十種類のチップセットに影響を与えるというものだった。
この脆弱性は、Google Project Zero のサイバー・セキュリティ研究者 Seth Jenkins と、Amnesty International Security Lab の Conghui Wang により報告された。Jenkins が推奨するのは、Android デバイスにおいて可能な限り迅速に、この脆弱性に対応することである。
Qualcomm による、深刻なゼロデイ脆弱性への対応が迅速に行われているようです。ただし、攻撃の詳細は明かされていません。この種の脆弱性の FIX は、OEM 経由で一般ユーザーに届くものなので、アップデート待つ他に対処法はありません。Android デバイスを利用するユーザーさんは、ご注意ください。よろしければ、Qualcomm で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.