製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Qualcomm Secure Execution Environment における情報漏えいに関する脆弱性

タイトル	Qualcomm Secure Execution Environment における情報漏えいに関する脆弱性
概要	Qualcomm Secure Execution Environment (QSEE) には、Linux Android などの high level operating systems (HLOS) からメモリアドレス情報を受け取る際、情報漏えいに関する脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年6月1日0:00
登録日	2017年5月11日14:29
最終更新日	2017年5月11日14:29

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:N

影響を受けるシステム

Google

Android

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-5349	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5349
National Vulnerability Database (NVD)
2	CVE-2016-5349	https://nvd.nist.gov/vuln/detail/CVE-2016-5349

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
Android Open Source Project
1	Android のセキュリティに関する公開情報 - 2017 年 4 月	https://source.android.com/security/bulletin/2017-04-01
Code Aurora Forum
2	QCIR-2017-00015-1	https://www.codeaurora.org/insufficient-memory-address-information-prevent-arbitrary-memory-access-qsee-secure-applications-cve
Qualcomm Security Advisory
3	QTIR-2017-0001-1	https://www.qualcomm.com/company/product-security/security-advisories

変更履歴

No	変更内容	変更日
0	[2017年05月11日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-5349

概要	The high level operating systems (HLOS) was not providing sufficient memory address information to ensure that secure applications inside Qualcomm Secure Execution Environment (QSEE) only write to legitimate memory ranges related to the QSEE secure application's HLOS client. When secure applications inside Qualcomm Secure Execution Environment (QSEE) receive memory addresses from a high level operating system (HLOS) such as Linux Android, those address have previously been verified as belonging to HLOS memory space rather than QSEE memory space, but they were not verified to be from HLOS user space rather than kernel space. This lack of verification could lead to privilege escalation within the HLOS.
公表日	2017年4月7日4:59
登録日	2021年1月26日14:13
最終更新日	2024年11月21日11:54

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:google:android::::::::			7.1.1

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.securityfocus.com/bid/97364		Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/97364		Third Party Advisory VDB Entry
3	http://www.securitytracker.com/id/1038201
4	http://www.securitytracker.com/id/1038201
5	https://source.android.com/security/bulletin/2017-04-01		Vendor Advisory
6	https://source.android.com/security/bulletin/2017-04-01		Vendor Advisory
7	https://www.codeaurora.org/insufficient-memory-address-information-prevent-arbitrary-memory-access-qsee-secure-applications-cve		Issue Tracking Patch Third Party Advisory
8	https://www.codeaurora.org/insufficient-memory-address-information-prevent-arbitrary-memory-access-qsee-secure-applications-cve		Issue Tracking Patch Third Party Advisory
9	https://www.qualcomm.com/company/product-security/security-advisories		Vendor Advisory
10	https://www.qualcomm.com/company/product-security/security-advisories		Vendor Advisory

共通脆弱性一覧