【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の脆弱性、サービスの機密性に影響のおそれ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年03月のアーカイブ一覧
【2025年03月】セキュリティに関するアーカイブ一覧
【2025年03月07日】セキュリティに関するアーカイブ一覧
【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の脆弱性、サービスの機密性に影響のおそれ

記事の要約

HarmonyOSのメディアライブラリに脆弱性
サービスの機密性に影響を与える可能性
権限確認の問題点が明らかに

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリモジュールの脆弱性

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のメディアライブラリモジュールに権限確認の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-58049】として識別されており、CVSSスコアは5.0（MEDIUM）に分類され、サービスの機密性に影響を与える可能性があることが判明している。^[1]

この脆弱性はCWE-200（認可されていないアクターへの機密情報の露出）に分類され、ローカルでの攻撃が可能であることが確認されている。攻撃の実行には低い特権レベルと利用者の操作が必要とされており、システムへの影響は限定的であるものの、機密情報の漏洩リスクが存在している。

Huaweiはこのセキュリティリスクへの対応として、影響を受けるバージョンの特定と修正作業を進めている。SSVCの評価によると、この脆弱性の自動化された攻撃の可能性は「none」とされており、技術的な影響は「partial」と評価されているが、適切な対策の実施が推奨される。

HarmonyOS 5.0.0の脆弱性概要

項目	詳細
CVE番号	CVE-2024-58049
影響を受けるバージョン	HarmonyOS 5.0.0
脆弱性の種類	CWE-200（認可されていないアクターへの機密情報の露出）
CVSSスコア	5.0（MEDIUM）
攻撃条件	ローカルアクセス、低特権レベル、ユーザー操作が必要

Huaweiのセキュリティ情報の詳細はこちら

認可されていないアクターへの機密情報の露出について

認可されていないアクターへの機密情報の露出とは、システムが意図せずに機密情報を権限のない第三者に開示してしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

権限管理の不備により機密データにアクセスが可能になる
システムの設定ミスや実装の欠陥が原因となる
情報漏洩のリスクが高まる重大な脆弱性

この種の脆弱性は、HarmonyOSのメディアライブラリモジュールで発見された権限確認の問題のように、システムの重要な部分に影響を与える可能性がある。CVSSスコアが示すように、攻撃の実行には一定の条件が必要とされるものの、機密情報の漏洩という深刻な結果につながる可能性があるため、早急な対応が求められる。

HarmonyOSのメディアライブラリの脆弱性に関する考察

HarmonyOSのメディアライブラリモジュールにおける権限確認の脆弱性は、モバイルOSのセキュリティ設計における重要な課題を浮き彫りにしている。特にマルチメディア処理に関連するモジュールは、ユーザーデータへのアクセスが頻繁に発生する領域であり、権限管理の厳密な実装が不可欠であることが改めて認識される。

今後はメディアライブラリの権限管理システムの見直しと、アクセス制御メカニズムの強化が必要となるだろう。特に、低特権ユーザーによる機密情報へのアクセスを防ぐため、より細かな粒度での権限チェックの実装や、セキュアコーディングガイドラインの整備が求められる。

HarmonyOSの普及拡大に伴い、同様の脆弱性が他のモジュールでも発見される可能性は否定できない。継続的なセキュリティ監査とパッチ管理の仕組みの整備、さらには開発者向けのセキュリティトレーニングプログラムの充実が、長期的な解決策として重要となるだろう。