セキュリティ

SECURITY

公開：2025-01-17

【CVE-2024-56441】HuaweiのHarmonyOSとEMUIにBastetモジュールの競合状態脆弱性が発見、サービスの機密性に影響の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• HarmonyOSとEMUIのBastetモジュールに脆弱性
• 競合状態の脆弱性によりサービス機密性に影響
• 複数バージョンに影響する深刻度中程度の脆弱性

HarmonyOSとEMUIのBastetモジュールに競合状態の脆弱性

Huawei Technologiesは2025年1月8日、HarmonyOSとEMUIのBastetモジュールに競合状態の脆弱性（CVE-2024-56441）を発見したことを公開した。この脆弱性は共有リソースの同期が不適切なために発生し、サービスの機密性に影響を与える可能性があることが判明している。^[1]

HarmonyOSでは2.0.0から4.2.0までの6つのバージョンが影響を受けることが確認されており、EMUIについても12.0.0から14.0.0までの3つのバージョンで同様の脆弱性が発見された。CVSSスコアは4.1（MEDIUM）と評価され、攻撃には高い特権レベルが必要とされている。

この脆弱性はCWE-362として分類され、共有リソースの同時実行における不適切な同期処理に起因することが特定された。Huaweiはセキュリティ通知を公開し、影響を受けるバージョンのユーザーに対して適切な対応を推奨している。

HarmonyOS・EMUIの影響を受けるバージョンまとめ

セキュリティ通知の詳細はこちら

競合状態（Race Condition）について

競合状態とは、複数のプロセスやスレッドが共有リソースに同時にアクセスする際に発生する問題のことを指す。主な特徴として、以下のような点が挙げられる。

• 複数のプロセスが同一リソースに同時にアクセスすることで発生
• タイミングに依存する不確実な動作を引き起こす可能性
• データの整合性や信頼性に影響を与える可能性

Bastetモジュールで発見された競合状態の脆弱性は、共有リソースへのアクセスにおける同期処理が不適切であることが原因とされている。この種の脆弱性は適切な同期メカニズムの実装やアクセス制御の強化によって防ぐことが可能だが、発見や再現が困難な特徴を持つ。

Bastetモジュールの脆弱性に関する考察

HarmonyOSとEMUIの両プラットフォームで同様の脆弱性が発見されたことは、共通のコードベースに起因する問題である可能性を示唆している。この事態は、クロスプラットフォーム開発における共有コンポーネントのセキュリティ設計の重要性を改めて浮き彫りにした。

今後の課題として、モバイルプラットフォームの複雑化に伴う共有リソース管理の難しさが挙げられる。特に異なるバージョン間での互換性を維持しながら、セキュリティ対策を実装することは開発者にとって大きな課題となっているが、適切な同期メカニズムの実装と定期的なセキュリティ監査の実施が重要だろう。

将来的には、プラットフォーム全体のセキュリティアーキテクチャを見直し、モジュール間の依存関係を最小限に抑えることが望ましい。これにより、個別のモジュールの脆弱性が全体に与える影響を制限し、より堅牢なシステムを構築することが期待される。

参考サイト

1. ^ CVE. 「CVE-2024-56441 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-56441, (参照 25-01-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧