無料スキャン
分析待ちCVE-2025-71286

CVE-2025-71286: メモリ破壊 SOF (Sound Open Firmware) における脆弱性

プラットフォーム

linux

コンポーネント

sof

修正版

a653820700b81c9e6f05ac23b7969ecec1a18e85

NVDで見る
保存

CVE-2025-71286 は、LinuxカーネルのSOF (Sound Open Firmware) におけるメモリ破壊の脆弱性です。この脆弱性は、IPC4トポロジーにおけるバイトコントロールのメモリ割り当てサイズが不適切であるために発生し、攻撃者がシステムをDoS状態に陥れたり、機密情報を漏洩させたりする可能性があります。影響を受けるバージョンは SOF のコミットハッシュ ≤a653820700b81c9e6f05ac23b7969ecec1a18e85 です。修正バージョンは a653820700b81c9e6f05ac23b7969ecec1a18e85 であり、最新バージョンへのアップデートを推奨します。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSOFのIPC4トポロジーを悪用し、バイトコントロールのメモリ割り当てサイズを操作することで、意図した以上のメモリを割り当てさせることが可能になります。これにより、バッファオーバーフローが発生し、攻撃者はカーネルメモリを読み書きできるようになる可能性があります。攻撃者は、この脆弱性を利用して、システムをDoS状態に陥れたり、機密情報を漏洩させたり、さらにはコード実行を奪取したりする可能性があります。この脆弱性の影響範囲は、SOFを搭載したデバイス全体に及ぶ可能性があり、特にオーディオ処理を頻繁に行うシステムや、信頼できないオーディオソースを扱うシステムにおいて、リスクが高まります。類似の脆弱性は、オーディオデバイスドライバのメモリ管理不備から発生することがあります。

悪用の状況

この脆弱性は、まだKev (Kernel Exploitability Tracking) に登録されていません。EPSS (Exploit Prediction Scoring System) スコアは、現時点では評価されていません。公的なPoC (Proof of Concept) はまだ存在しませんが、メモリ破壊の脆弱性であるため、将来的に悪用される可能性は否定できません。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の公開日は 2026年5月6日です。攻撃者による積極的な悪用活動の兆候は、現時点では確認されていません。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.02% (7% パーセンタイル)

影響を受けるソフトウェア

コンポーネントsof
ベンダーLinux
最大バージョンa653820700b81c9e6f05ac23b7969ecec1a18e85
修正版a653820700b81c9e6f05ac23b7969ecec1a18e85

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

CVE-2025-71286 の軽減策として、まず、SOFを修正バージョン a653820700b81c9e6f05ac23b7969ecec1a18e85 にアップデートすることが最も効果的です。もしアップデートが困難な場合は、一時的な回避策として、SOFのIPC4トポロジーの設定を制限し、バイトコントロールの最大サイズを制限することで、割り当てられるメモリ量を制限することができます。また、WAFやIPSなどのセキュリティデバイスを導入し、異常なメモリ割り当てリクエストを検知・遮断することも有効です。アップデート後、dmesg コマンドでカーネルログを確認し、SOF関連のエラーメッセージがないことを確認してください。

修正方法翻訳中…

Actualice el kernel de Linux a la versión 6.6.1 o posterior para corregir la asignación de memoria incorrecta en el controlador SOF. Esta actualización aborda un posible desbordamiento de búfer al asignar memoria para controles de bytes, mejorando la seguridad y la estabilidad del sistema.

よくある質問

CVE-2025-71286 — メモリ破壊 SOF (Sound Open Firmware) におかですか?

はい、CVE-2025-71286 は、SOF (Sound Open Firmware) におけるメモリ破壊の脆弱性です。IPC4トポロジーにおけるバイトコントロールのメモリ割り当てサイズの問題が原因で発生します。

CVE-2025-71286 における SOF (Sound Open Firmware) は影響を受けますか?

はい、SOF のコミットハッシュ ≤a653820700b81c9e6f05ac23b7969ecec1a18e85 を使用しているシステムは影響を受けます。

CVE-2025-71286 における SOF (Sound Open Firmware) を修正するにはどうすればよいですか?

SOF を修正バージョン a653820700b81c9e6f05ac23b7969ecec1a18e85 にアップデートしてください。

CVE-2025-71286 は積極的に悪用されていますか?

現時点では、CVE-2025-71286 の積極的な悪用活動の兆候は確認されていません。

CVE-2025-71286 の SOF (Sound Open Firmware) の公式アドバイザリはどこで入手できますか?

NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の公開日は 2026年5月6日です。詳細については、これらのデータベースを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...