CVE-2025-71286: Memory Allocation Bug in SOF Firmware
プラットフォーム
linux
コンポーネント
sof
修正版
a653820700b81c9e6f05ac23b7969ecec1a18e85
CVE-2025-71286 addresses a memory allocation issue within the SOF (Sound Open Firmware) component of the Linux kernel. This vulnerability stems from an incorrect calculation of the required memory size for bytes controls within the ipc4-topology module, potentially leading to a denial-of-service condition. The vulnerability impacts Linux kernel versions up to and including a653820700b81c9e6f05ac23b7969ecec1a18e85, and a fix is available in version a653820700b81c9e6f05ac23b7969ecec1a18e85.
影響と攻撃シナリオ
CVE-2025-71286 は、Linux カーネルの ASoC (Advanced Sound Architecture) サブシステム、特に SOF (Sound Open Firmware) コントローラとその ipc4-topology モジュールに影響を与えます。問題は、バイト制御のためのメモリ割り当てサイズが正しくないことです。scontrol->ipccontroldata に割り当てられたメモリ量は不十分であり、バッファオーバーフローが発生する可能性があります。このバッファオーバーフローにより、攻撃者はオーディオデバイスへのアクセス権を持つことで、割り当てられたメモリ境界を超えて書き込むことができ、システム整合性を損なったり、任意のコードの実行を可能にしたりする可能性があります。この脆弱性の深刻度は、攻撃者の特権とシステム構成に依存しますが、オーディオデバイスが機密データ入出力に使用される環境では重大になる可能性があります。
悪用の状況
CVE-2025-71286 の悪用には、オーディオデバイスへのアクセスと、バッファオーバーフローをトリガーする悪意のあるコマンドを送信する機能が必要です。攻撃者は、オーディオデバイスと対話するための権限を持つユーザープログラムを介して、またはシステムの資源を枯渇させるサービス拒否 (DoS) 攻撃を介してこれを実現できます。悪用の複雑さは、システム構成と実装されているセキュリティ対策によって異なります。現在、この脆弱性が実際に悪用されているという公開情報は存在しませんが、潜在的な影響を考えると、修正を迅速に適用する必要があります。
脅威インテリジェンス
エクスプロイト状況
EPSS
0.02% (7% パーセンタイル)
影響を受けるソフトウェア
タイムライン
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
CVE-2025-71286 の修正は、SOF コントローラの ipc4-topology モジュール内でバイト制御のためのメモリを割り当てる関数における修正です。この修正により、sofipc4controldata 構造体、ABI ヘッダー (sofabi_hdr)、およびペイロードのサイズを考慮して、適切な量のメモリが割り当てられるようになります。パッチ a653820700b81c9e6f05ac23b7969ecec1a18e85 を含むカーネルアップデートを適用することを強くお勧めします。さらに、オーディオデバイスと対話するプロセスの権限を最小限に抑えるために、システム構成を確認することをお勧めします。オーディオサブシステムに関連する異常なイベントをシステムログで監視することも、潜在的な悪用を検出するのに役立ちます。
修正方法翻訳中…
Actualice el kernel de Linux a la versión 6.6.1 o posterior para corregir la asignación de memoria incorrecta en el controlador SOF. Esta actualización aborda un posible desbordamiento de búfer al asignar memoria para controles de bytes, mejorando la seguridad y la estabilidad del sistema.
よくある質問
CVE-2025-71286 とは何ですか?(SOF (Sound Open Firmware))
ASoC (Advanced Sound Architecture) は、Linux カーネル内のオーディオデバイスのための抽象化レイヤーを提供するインフラストラクチャです。
SOF (Sound Open Firmware) の CVE-2025-71286 による影響を受けていますか?
SOF (Sound Open Firmware) は、オーディオドライバを実装するための柔軟で構成可能な方法を提供する、オープンソースのオーディオフレームワークです。
SOF (Sound Open Firmware) の CVE-2025-71286 を修正するにはどうすればよいですか?
Linux カーネルのバージョンを確認することで、システムが脆弱かどうかを確認できます。パッチ a653820700b81c9e6f05ac23b7969ecec1a18e85 を含むバージョンより前のバージョンを使用している場合は、脆弱です。
CVE-2025-71286 は積極的に悪用されていますか?
この脆弱性に対する既知の回避策はありません。パッチを適用することが推奨される解決策です。
CVE-2025-71286 に関する SOF (Sound Open Firmware) の公式アドバイザリはどこで確認できますか?
システムが侵害された疑いがある場合は、ネットワークから隔離し、フォレンジック分析を実行し、カーネルパッチを適用する必要があります。
今すぐ試す — アカウント不要
Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...