Qualcommは、既に悪用の恐れのある3つのゼロデイ脆弱(ぜいじゃく)性を修正したと発表した。米国時間6月2日に公開されたセキュリティ情報では、この問題が「Snapdragon」プロセッサーを搭載したデバイスの「Adreno GPU」ドライバーに影響を与えると明らかにした。
セキュリティアドバイザリーでは、「Google Threat Analysis Groupからの情報によると、CVE-2025-21479、CVE-2025-21480、CVE-2025-27038は、限定的な標的型攻撃を受けている可能性がある」とされている。さらに、「Adreno Graphics Processing Unit(GPU)ドライバーに影響を与える問題に対する修正は、5月にOEMへ提供されており、影響を受けるデバイスにできるだけ早くアップデートを展開することを強く推奨している。特定のデバイスに関する修正状況については、デバイスメーカーに問い合わせてほしい」としている。
同社は、スマートフォンやノートPC、家電製品などに組み込まれるプロセッサー、チップセット、モデムといったハイテク部品を製造している。このため、自社コンポーネントへの修正の適用は、問題解決の半分に過ぎない。デバイスメーカーも自社製品に修正を適用する必要があるが、このプロセスは消費者がほとんど、あるいは全く制御できないものとなっている。
CVE-2025-21479、CVE-2025-21480、CVE-2025-27038は全て、ハッカーが不正かつ悪意のあるコマンドを実行できるメモリー破損の問題を指摘している。CVE-2025-27038は、「Chrome」でAdreno GPUドライバーを使用してグラフィックスをレンダリングする際のメモリー破損に焦点を当てている。
Qualcommによると、これらの脆弱性は限定的ではあるものの、既に悪用が確認されているという。CVE-2025-21479、CVE-2025-21480は危険度評価が10段階中8.6の「critical」であり、CVE-2025-27038は7.5の「high」と評価されている。同社のセキュリティ情報には、この脆弱性の影響を受けるチップセットも記載されている。
提供:Qualcomm
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
