Trusted Design

解説:

CVE-2021-1906について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2021-1906は、Qualcomm社のSnapdragonシリーズ製品に存在する脆弱性です。アドレスの登録解除処理が不適切であることに起因し、GPUアドレスの新規割り当てに失敗する可能性があります。

1.1 影響

この脆弱性が悪用されると、新しいGPUアドレスの割り当てに失敗し、サービス運用妨害（DoS）状態を引き起こす可能性があります。 攻撃が成功した場合、標的のデバイスへの完全なアクセス権を取得し、制御を奪われる可能性も指摘されていますが、主要な影響はGPU割り当ての失敗です。

1.2 深刻度

CVSSv3.1のスコアは6.2で、「中（MEDIUM）」と評価されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、Qualcomm Snapdragonプラットフォームの以下の製品に影響を与えます。 * Snapdragon Auto * Snapdragon Compute * Snapdragon Connectivity * Snapdragon Consumer IOT * Snapdragon Industrial IOT * Snapdragon Mobile * Snapdragon Voice & Music * Snapdragon Wearables

具体的な影響を受けるチップセットのバージョンもリストされています（例: APQ8009, MSM8909W, PM6125など）。 また、Android OS内のQualcomm Graphicsコンポーネントも影響を受けます。

2.2 影響を受ける設定

Qualcommコンポーネントにおける、失敗時のアドレス登録解除の処理が不適切であることが原因です。 特定の「設定」による影響ではなく、内部的なGPUアドレス管理の不備に起因します。

3. 影響を受けた時の兆候

検索結果からは、CVE-2021-1906が悪用された際の具体的な兆候（Indicator of Compromise: IoC）についての詳細な記述は見つかりませんでした。GPUアドレスの割り当て失敗は、システムの不安定化、クラッシュ、またはGPUを利用するアプリケーションの動作不良として現れる可能性があります。Googleは、この脆弱性が限定的かつ標的型攻撃に利用されている可能性があると述べています。

4. 推奨対策

4.1 本対策

Qualcomm社は、2021年5月のセキュリティ速報でこの脆弱性に対するパッチをリリースしています。 Googleも、2021年5月のAndroidセキュリティ速報を更新し、この脆弱性および関連する脆弱性に対する修正を含めました。 したがって、対象となるQualcomm製品およびAndroidデバイスの最新のセキュリティアップデートを適用することが推奨されます。

4.2 暫定回避策（緩和策）

検索結果からは、このCVEに対する具体的な暫定回避策や緩和策に関する記述は見つかりませんでした。公式パッチの適用が最も効果的な対策とされています。

他に解説すべき観点

CVE-2021-1906は、Qualcomm GraphicsおよびArm Mali GPU Driverモジュールに影響を与える4つのゼロデイ脆弱性の一部であり、実際に限定的な標的型攻撃で悪用された可能性があるとGoogleが報告しています。

参照したサイト

• CVE-2021-1906 - CVE Record
• CVE-2021-1906: Qualcomm 组件安全漏洞- 漏洞平台
• Android Issues Patches for 4 New Zero-Day Bugs Exploited in the Wild - The Hacker News
• Google Warns of New Android 0-Day Vulnerability Under Active Targeted Attacks