無料スキャン
分析待ちCVE-2026-22166

CVE-2026-22166: WebGPU UAF in GPU DDK 1.18.0–26.1 RTM

プラットフォーム

linux

コンポーネント

gpu-ddk

NVDで見る
保存

CVE-2026-22166は、GPU DDKのWebGPUコンポーネントにおけるUse-After-Free (UAF)脆弱性です。この脆弱性は、特異なWebGPUコンテンツがGPU GLESレンダプロセスにロードされる際に発生し、GPU GLESユーザー空間共有ライブラリでクラッシュを引き起こす可能性があります。影響を受けるバージョンは1.18.0–26.1 RTMです。現時点では修正バージョンは提供されていませんが、WebGPUコンテンツの検証と制限が推奨されます。

影響と攻撃シナリオ

この脆弱性は、攻撃者が特異なWebGPUコンテンツをGPU GLESレンダプロセスにロードすることで、Use-After-Free (UAF)クラッシュを引き起こす可能性があります。システム権限を持つプロセスでこの脆弱性が悪用される場合、攻撃者はシステム上で任意のコードを実行し、機密情報を盗み出し、システムを完全に制御する可能性があります。この脆弱性は、WebGPUを実装しているアプリケーションやサービスを使用しているシステムに影響を与えます。WebGPUの利用状況によっては、攻撃対象領域が広がる可能性があります。類似のUAF脆弱性は、メモリ破壊につながる可能性があり、システム全体の安定性に影響を与える可能性があります。

悪用の状況

CVE-2026-22166は、2026年5月1日に公開されました。現時点では、この脆弱性を悪用する公開されているProof-of-Concept (PoC)は確認されていません。KEV (Kernel Exploitability Matrix) スコアやEPSS (Exploit Prediction Scoring System) スコアはまだ評価されていません。CISAやNVD (National Vulnerability Database) の情報もまだ提供されていません。この脆弱性は、WebGPUを実装しているシステムに潜在的なリスクをもたらしますが、現時点では積極的に悪用されているという報告はありません。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.01% (3% パーセンタイル)

影響を受けるソフトウェア

コンポーネントgpu-ddk
ベンダーImagination Technologies
最小バージョン1.18.0
最大バージョン26.1 RTM

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日
  2. EPSS 更新日

緩和策と回避策

現時点では、GPU DDK 1.18.0–26.1 RTMに対する公式な修正バージョンは提供されていません。しかし、この脆弱性のリスクを軽減するために、いくつかの緩和策を講じることができます。まず、WebGPUコンテンツの検証と制限を実装し、悪意のあるコンテンツがレンダプロセスにロードされるのを防ぐ必要があります。また、WebGPUの利用を最小限に抑え、信頼できないソースからのコンテンツのロードを避けることが推奨されます。WAFやプロキシサーバーを使用して、悪意のあるWebGPUコンテンツをブロックすることも有効です。WebGPUの入力検証を強化し、不正な形式やコンテンツを拒否するように設定してください。

修正方法翻訳中…

Aplica las actualizaciones de seguridad proporcionadas por Imagination Technologies para la GPU DDK. Consulta el sitio web de Imagination Technologies para obtener más detalles y las versiones corregidas: https://www.imaginationtech.com/gpu-driver-vulnerabilities/

よくある質問

CVE-2026-22166 — WebGPU UAF in GPU DDK 1.18.0–26.1 RTMとは何ですか?

CVE-2026-22166は、GPU DDK 1.18.0–26.1 RTMのWebGPUコンポーネントにおけるUse-After-Free (UAF)脆弱性です。特異なWebGPUコンテンツがロードされるとクラッシュを引き起こし、悪用される可能性があります。

CVE-2026-22166 in GPU DDK 1.18.0–26.1 RTMに影響を受けますか?

GPU DDK 1.18.0–26.1 RTMを使用しているシステムは、この脆弱性に影響を受ける可能性があります。WebGPUを積極的に利用している場合は、特に注意が必要です。

CVE-2026-22166 in GPU DDK 1.18.0–26.1 RTMを修正するにはどうすればよいですか?

現時点では公式な修正バージョンは提供されていません。WebGPUコンテンツの検証と制限、WebGPUの利用を最小限に抑えるなどの緩和策を講じることを推奨します。

CVE-2026-22166は積極的に悪用されていますか?

現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。しかし、潜在的なリスクがあるため、注意が必要です。

CVE-2026-22166に関するGPU DDKの公式アドバイザリはどこで入手できますか?

現時点では、公式アドバイザリは公開されていません。Microsoftのセキュリティ情報ページを定期的に確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...