セキュリティ

SECURITY

公開：2025-03-08

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆弱性、プリインストールアプリを介した攻撃の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenHarmony v5.0.2以前にNULLポインタ参照の脆弱性
• プリインストールアプリでの任意コード実行が可能に
• CVSSスコアは3.8でLowレベルの深刻度と評価

OpenHarmony v5.0.2のNULLポインタ参照の脆弱性

OpenHarmonyは2025年3月4日、OpenHarmony v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets Runtimeに関するNULLポインタ参照の脆弱性を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるものであり、限定的なシナリオでのみ悪用可能とされている。^[1]

この脆弱性はCVE-2025-21084として識別されており、CWEによる脆弱性タイプはNULLポインタ参照（CWE-476）に分類されている。CVSSスコアは3.8のLowレベルと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

影響を受けるバージョンはOpenHarmony v4.1.0からv5.0.2までとなっており、それ以外のバージョンは影響を受けないことが確認されている。OpenHarmonyは公式のGiteeリポジトリにて脆弱性の詳細情報を公開し、ユーザーに対して注意を呼びかけている。

OpenHarmony v5.0.2の脆弱性まとめ

NULLポインタ参照について

NULLポインタ参照とは、プログラムがメモリ上のNULLアドレスにアクセスしようとする際に発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムがNULLポインタを参照しようとした際にクラッシュする可能性
• メモリ破壊やプログラムの異常終了を引き起こす危険性
• 攻撃者による任意のコード実行に悪用される可能性

OpenHarmonyのArkcompiler Ets Runtimeで発見されたNULLポインタ参照の脆弱性は、プリインストールアプリを介して攻撃者が任意のコードを実行できる可能性がある。この脆弱性は限定的なシナリオでのみ悪用可能だが、システムの安定性とセキュリティに影響を与える重要な問題として認識されている。

OpenHarmonyの脆弱性に関する考察

OpenHarmonyのNULLポインタ参照の脆弱性は、CVSSスコアこそ低いものの、プリインストールアプリを介した攻撃経路が存在する点で注目に値する。この脆弱性は限定的なシナリオでのみ悪用可能とされているが、プリインストールアプリは多くのユーザーが利用する可能性が高く、影響範囲の特定と対策が重要になるだろう。

今後OpenHarmonyのセキュリティ対策として、プリインストールアプリのコード品質向上とセキュリティレビューの強化が求められる。特にNULLポインタチェックの実装やメモリ管理の改善など、基本的なセキュリティ対策の徹底が必要不可欠だ。

また、今回の脆弱性対応を通じて得られた知見を、将来のバージョンにおけるセキュリティ設計に活かすことが重要である。OpenHarmonyの開発チームには、脆弱性情報の透明性確保と迅速な対応に加え、予防的なセキュリティ対策の強化が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21084, (参照 25-03-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧