セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-10074】OpenHarmony v4.1.1のLiteos_aに特権昇格の脆弱性、CVSSスコア8.8で早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenHarmonyのLiteos_aに特権昇格の脆弱性
• v4.1.0からv4.1.1のバージョンが影響を受ける
• CVSSスコア8.8でHIGHの深刻度に分類

OpenHarmony v4.1.1のLiteos_aに発見された特権昇格の脆弱性

OpenHarmonyは2024年12月3日、オペレーティングシステムの重要コンポーネントであるLiteos_aにuse after freeの脆弱性が存在することを公開した。この脆弱性はv4.1.0からv4.1.1のバージョンに影響を及ぼすもので、ローカル攻撃者が一般権限から管理者権限まで特権を昇格させることが可能になっている。^[1]

この脆弱性はCVE-2024-10074として識別されており、CWEによる脆弱性タイプはuse after free（CWE-416）に分類されている。CVSSv3.1での評価では、攻撃元区分はローカルであり、攻撃条件の複雑さは低く設定されており、特権レベルは低いものの、ユーザーの関与は不要とされている。

脆弱性の深刻度はCVSSスコア8.8のHIGHに分類されており、機密性、完全性、可用性のすべての項目で高い影響度が示されている。SSVCによる評価では、自動化された攻撃は確認されていないものの、技術的な影響は重大であることが指摘されており、早急な対応が求められている。

OpenHarmony v4.1.1の脆弱性詳細

脆弱性の詳細はこちら

Use After Freeについて

Use After Freeとは、プログラムがメモリ上で解放済みの領域にアクセスしようとする際に発生する深刻な脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 解放済みのメモリ領域への不正なアクセスが可能
• メモリ破損やシステムクラッシュを引き起こす可能性
• 特権昇格やコード実行などの攻撃に悪用される可能性

OpenHarmony v4.1.1で発見されたUse After Free脆弱性は、ローカル攻撃者が一般権限から管理者権限まで特権を昇格させることが可能になっている。CVSSスコアが8.8と高く評価されており、特権昇格を引き起こす可能性があるため、影響を受けるバージョンを使用しているユーザーは早急な対応が必要だ。

OpenHarmony v4.1.1の脆弱性に関する考察

OpenHarmonyの脆弱性対応における迅速な情報公開は評価できるが、Use After Free脆弱性の存在は深刻な問題である。特にローカル環境での特権昇格が可能になってしまう点は、システムの根幹に関わる重大な脆弱性であり、マルウェアの感染やデータの改ざんなど、二次的な被害を引き起こす可能性も否定できない。

今後の課題として、開発段階でのセキュリティテストの強化やメモリ管理の厳格化が必要不可欠である。特にUse After Free脆弱性は、適切なメモリ管理とポインタの取り扱いによって防ぐことが可能であり、開発者向けのセキュリティガイドラインの整備や、コードレビューの徹底が求められる。

OpenHarmonyの今後の発展に向けて、セキュリティ対策の一層の強化が期待される。特に影響を受けるバージョンのユーザーに対して、具体的な対策方法や回避策の提供など、より詳細な情報提供を行うことで、ユーザーの安全性を確保していく必要がある。

参考サイト

1. ^ CVE. 「CVE-2024-10074 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10074, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧