無料スキャン
分析待ちCVE-2026-22165

CVE-2026-22165: WebGPU UAF in GPU DDK 1.18.0–26.1 RTM

プラットフォーム

linux

コンポーネント

imagination-technologies-gpu-ddk

修正版

24.2.1

NVDで見る
保存

この脆弱性(CVE-2026-22165)は、GPU DDKのWebGPUコンポーネントにおいて、WebGPUコンテンツの異常な読み込みによってUse-After-Free (UAF)クラッシュが発生する可能性があります。攻撃者は、このクラッシュを利用して、システム権限を持つプロセスにおいて、デバイス上で悪意のあるコードを実行する可能性があります。影響を受けるバージョンは1.18.0–26.1 RTMです。修正バージョンは24.2.1にリリースされています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がWebページに悪意のあるWebGPUコンテンツを埋め込むことで悪用される可能性があります。WebページがGPU GLESレンダプロセスに読み込まれる際、脆弱なGPU DDKライブラリがUAFクラッシュを引き起こし、攻撃者がメモリを制御し、最終的には任意のコードを実行できるようになる可能性があります。特に、プロセスがシステム権限を持っている場合、攻撃の影響範囲は広がり、デバイス全体の制御を奪われるリスクが高まります。この脆弱性は、Webアプリケーションの脆弱性を悪用して、バックエンドシステムへの侵入を試みる攻撃経路として利用される可能性があります。

悪用の状況

このCVEは2026年5月1日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、WebGPUは比較的新しい技術であり、潜在的な悪用方法が今後発見される可能性があります。EPSSスコアは現時点では評価されていません。公開されている情報に基づくと、この脆弱性の悪用確率は低いと考えられますが、継続的な監視が必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.01% (3% パーセンタイル)

影響を受けるソフトウェア

コンポーネントimagination-technologies-gpu-ddk
ベンダーImagination Technologies
最小バージョン1.18.0
最大バージョン26.1 RTM
修正版24.2.1

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日
  2. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、GPU DDKをバージョン24.2.1以降にアップデートすることを推奨します。アップデートが困難な場合は、WebGPUコンテンツの読み込みを制限する、またはWebGPUコンテンツの検証を強化するなどの緩和策を検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、悪意のあるWebGPUコンテンツの読み込みをブロックすることも有効です。システム権限を持つプロセスでWebGPUを使用している場合は、特に注意が必要です。

修正方法翻訳中…

Actualice el driver de GPU DDK a la versión 24.2.1 o posterior para mitigar la vulnerabilidad de uso después de liberar (UAF).  Verifique la documentación de Imagination Technologies para obtener instrucciones específicas de actualización para su plataforma y configuración.  Asegúrese de aplicar las actualizaciones de seguridad más recientes para su sistema operativo y hardware.

よくある質問

CVE-2026-22165 — WebGPU UAF in GPU DDK 1.18.0–26.1 RTMとは何ですか?

CVE-2026-22165は、GPU DDK 1.18.0–26.1 RTMにおけるWebGPU関連の脆弱性で、異常なWebGPUコンテンツの読み込みによってUse-After-Free (UAF)クラッシュを引き起こす可能性があります。

CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTMの影響を受けていますか?

GPU DDKのバージョンが1.18.0–26.1 RTMを使用している場合は、この脆弱性の影響を受ける可能性があります。バージョン24.2.1以降にアップデートすることで修正されます。

CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTMを修正するにはどうすればよいですか?

GPU DDKをバージョン24.2.1以降にアップデートしてください。アップデートが困難な場合は、WebGPUコンテンツの読み込みを制限するなどの緩和策を検討してください。

CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTMは積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、継続的な監視が必要です。

CVE-2026-22165に関するGPU DDKの公式アドバイザリはどこで入手できますか?

公式アドバイザリは、Microsoftのセキュリティ情報ページで確認できます。具体的なURLは、Microsoftのセキュリティ情報ページでCVE-2026-22165を検索してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...