公開日:2025/12/10 最終更新日:2025/12/10

JVNVU#95829976
Universal Boot Loader(U-Boot)におけるブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切な脆弱性

概要

U-Bootが提供するUniversal Boot Loader(U-Boot)には、ブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切な脆弱性が存在します。

影響を受けるシステム

  • U-boot 2017.11より前のバージョン
以下の特定のチップが影響を受けていることが確認されています。
  • Qualcomm IPQ4019
  • Qualcomm IPQ5018
  • Qualcomm IPQ5322
  • Qualcomm IPQ6018
  • Qualcomm IPQ8064
  • Qualcomm IPQ8074
  • Qualcomm IPQ9574

詳細情報

U-Bootが提供するUniversal Boot Loader(U-Boot)には、次の脆弱性が存在します。

  • ブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切(CWE-1274)
    • CVE-2025-24857

想定される影響

第三者によって任意のコードを実行される可能性があります。

対策方法

アップデートする
U-bootのサードパーティメンテナであるKonsulkoは、アップデートを推奨しています。
また、Qualcommは影響を受けるチップを利用しているユーザーに対し、サポートへの連絡を推奨しています。
詳細は、ICS Adovisoryおよび開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Konsulko Index of /pub/u-boot/
Qualcomm Contact Information & Contact Form Options for Qualcomm

参考情報

  1. ICS Advisory | ICSA-25-343-01
    Universal Boot Loader (U-Boot)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia