セキュリティ

SECURITY

公開：2025-03-11

【CVE-2025-22835】OpenHarmony v5.0.2のArkcompiler Ets Runtimeに脆弱性、プリインストールアプリを介した攻撃の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenHarmony v5.0.2以前のArkcompiler Ets Runtimeに脆弱性
• 任意のコード実行を可能にする脆弱性が発見
• 制限されたシナリオでのみ脆弱性を悪用可能

OpenHarmony v5.0.2のArkcompiler Ets Runtime脆弱性

OpenHarmonyは2025年3月4日、同社のArkcompiler Ets Runtimeにおいて範囲外書き込みの脆弱性（CVE-2025-22835）を公開した。この脆弱性はv5.0.2以前のバージョンに存在し、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行を可能にするものである。^[1]

脆弱性の深刻度はCVSS v3.1で3.8（Low）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。攻撃には特権レベルが必要だが、ユーザーの関与は不要とされており、影響範囲は制限されたシナリオに限定される。

OpenHarmonyは本脆弱性に対する修正パッチを準備しており、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。本脆弱性は制限された環境でのみ悪用可能だが、システムのセキュリティを確保するため、修正版への更新が重要となっている。

OpenHarmony v5.0.2の脆弱性まとめ

範囲外書き込みについて

範囲外書き込みとは、プログラムが確保されたメモリ領域の境界を超えてデータを書き込む脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• バッファオーバーフローを引き起こす可能性がある深刻な脆弱性
• 任意のコード実行やシステムクラッシュの原因となり得る
• 入力値の適切な検証により防止可能

本脆弱性はOpenHarmony v5.0.2以前のArkcompiler Ets Runtimeに存在し、プリインストールアプリを通じて攻撃者が任意のコードを実行できる可能性がある。ただし、攻撃には特権レベルが必要で、制限されたシナリオでのみ実行可能という特徴を持っている。

OpenHarmonyの脆弱性に関する考察

OpenHarmonyの脆弱性がLowレベルと評価された背景には、攻撃に必要な特権レベルと制限されたシナリオという条件が存在することが挙げられる。しかしながら、プリインストールアプリを介した攻撃経路が存在することから、デバイスメーカーは出荷前の徹底的なセキュリティ検証が必要になるだろう。

今後の課題として、プリインストールアプリのセキュリティ強化とランタイム環境の保護機能の改善が重要となってくる。特に、メモリ安全性を確保するための境界チェック機能の実装や、特権レベルの適切な制御メカニズムの導入が求められている。

OpenHarmonyのエコシステムの拡大に伴い、セキュリティ脆弱性の影響範囲も広がる可能性がある。プラットフォームの信頼性を維持するためには、脆弱性の早期発見と迅速な対応体制の構築が不可欠であり、継続的なセキュリティ監査とパッチ管理の重要性が増していくだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-22835, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧