無料スキャン
分析待ちCVE-2026-22165

GPU DDK - GLES3Context::psDrawParamsおよびGLES3Context::psModeのUAF読み込み、およびRMJob::apsCCBsのUAF読み込み/書き込み

プラットフォーム

linux

コンポーネント

imagination-technologies-gpu-ddk

修正版

24.2.1

NVDで見る
保存

GPU GLESレンダプロセスにロードされた異常なWebGPUコンテンツを含むWebページは、GPU GLESユーザー空間共有ライブラリで書き込みUAFクラッシュを引き起こす可能性があります。特定のプラットフォームでは、グラフィックスワークロードを実行するプロセスがシステム権限を持っている場合、デバイス上でのさらなるエクスプロイトを可能にする可能性があります。

影響と攻撃シナリオ

CVE-2026-22165 は、GPU GLES ユーザー空間共有ライブラリに影響を与える「Use-After-Free」(UAF)の脆弱性です。これは、通常でない WebGPU コンテンツを含む Web ページが GPU 内の GLES レンダリングプロセスにロードされるときにトリガーされます。これにより、アプリケーションがクラッシュする可能性があります。特定のプラットフォームでは、グラフィックスワークロードを実行しているプロセスがシステム権限を持っている場合、デバイス上でさらなるエクスプロイトが可能になり、オペレーティングシステムとユーザーデータを侵害する可能性があります。この脆弱性の重大度は、システム構成と影響を受けるプロセスの権限によって異なりますが、システム安定性とセキュリティにとって重大なリスクとなります。

悪用の状況

この脆弱性は、Web ページ内の WebGPU コンテンツの操作を通じて悪用されます。攻撃者は、ロードされるとグラフィックスライブラリ内の「Use-After-Free」条件をトリガーする悪意のある Web ページを作成する可能性があります。エクスプロイトの成功は、システム構成と影響を受けるプロセス内の昇格された権限の存在に依存します。この脆弱性は、昇格された権限を持つアプリケーションが WebGPU を使用する環境で特に懸念されます。エクスプロイトの複雑さは、フラグをトリガーする特定の WebGPU コンテンツを作成する必要性にあります。エクスプロイトが成功すると、影響を受けるプロセスのコンテキスト内で任意のコードの実行が可能になる可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.01% (3% パーセンタイル)

影響を受けるソフトウェア

コンポーネントimagination-technologies-gpu-ddk
ベンダーImagination Technologies
最小バージョン1.18.0
最大バージョン26.1 RTM
修正版24.2.1

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日
  2. EPSS 更新日

緩和策と回避策

CVE-2026-22165 の主な軽減策は、Graphics DDK をバージョン 24.2.1 に更新することです。この更新プログラムには、「Use-After-Free」条件を防ぐために必要な修正が含まれています。ユーザーとシステム管理者は、エクスプロイトのリスクを軽減するために、できるだけ早くこの更新プログラムを適用することを強くお勧めします。さらに、オペレーティングシステムとグラフィックスドライバーを最新のセキュリティパッチで最新の状態に保つことが重要です。GPU アクティビティと WebGPU を使用するアプリケーションを監視することで、エクスプロイトの試みが示唆される可能性のある異常な動作を検出するのに役立ちます。グラフィックスワークロードを実行するプロセスの権限を制限するために、セキュリティポリシーを見直すこともお勧めします。

修正方法翻訳中…

Actualice el driver de GPU DDK a la versión 24.2.1 o posterior para mitigar la vulnerabilidad de uso después de liberar (UAF).  Verifique la documentación de Imagination Technologies para obtener instrucciones específicas de actualización para su plataforma y configuración.  Asegúrese de aplicar las actualizaciones de seguridad más recientes para su sistema operativo y hardware.

よくある質問

CVE-2026-22165 とは何ですか?(GPU DDK)

'Use-After-Free' は、プログラムが既に解放されたメモリにアクセスしようとするときに発生します。これにより、アプリケーションがクラッシュしたり、より深刻な場合には悪意のあるコードが実行されたりする可能性があります。

GPU DDK の CVE-2026-22165 による影響を受けていますか?

WebGPU は、レンダリングおよびコンピューティングタスクのために GPU へのアクセスを提供する最新の Web API です。これにより、Web アプリケーションはグラフィックスおよびデータ処理タスクをより効率的に実行できます。

GPU DDK の CVE-2026-22165 を修正するにはどうすればよいですか?

Graphics DDK のバージョンが 24.2.1 より前の場合は、影響を受けている可能性があります。DDK のバージョンを確認し、必要に応じて更新してください。

CVE-2026-22165 は積極的に悪用されていますか?

攻撃された可能性がある場合は、デバイスをネットワークから切断し、インシデントの調査を手伝ってくれるサイバーセキュリティの専門家に連絡してください。

CVE-2026-22165 に関する GPU DDK の公式アドバイザリはどこで確認できますか?

現在、CVE-2026-22165 を検出するための特定のツールはありません。ただし、セキュリティ分析ツールは、エクスプロイトの試みが示唆される可能性のある異常な動作を特定するのに役立ちます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...