セキュリティ

SECURITY

公開：2025-03-11

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリインストールアプリで任意コード実行の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenHarmony v5.0.2以前にUAF脆弱性を確認
• プリインストールアプリで任意のコード実行が可能に
• 影響範囲はv4.1.0からv5.0.2までのバージョン

OpenHarmony v5.0.2のUAF脆弱性

OpenHarmonyは2025年3月4日、Communication Dsoftbusにおけるuse-after-free脆弱性（CVE-2025-20091）を公開した。この脆弱性は特定の制限されたシナリオでのみ悪用が可能であり、プリインストールアプリケーションにおいて任意のコード実行につながる可能性がある。^[1]

OpenHarmony v4.1.0からv5.0.2までのバージョンが影響を受けることが確認されており、CVSSスコアは3.1で深刻度は低いとされている。この脆弱性はローカルネットワークからの攻撃が可能で、攻撃の複雑さは低いものの、特権が必要となり、ユーザーの操作は不要とされている。

脆弱性の種類はCWE-416（Use After Free）に分類され、システムの機密性に対して限定的な影響があるとされている。OpenHarmonyは現在、この脆弱性に対する詳細な情報をGiteeリポジトリで公開しており、適切な対策の実施を呼びかけている。

OpenHarmony v5.0.2の脆弱性詳細

Use After Freeについて

Use After Free（UAF）とは、メモリ管理に関する脆弱性の一種で、解放済みのメモリ領域に対してアクセスを試みる問題を指す。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによる任意コード実行の可能性
• メモリ管理の不備によるシステムの不安定化
• プログラムのクラッシュや情報漏洩のリスク

OpenHarmonyのCommunication Dsoftbusで発見されたUAF脆弱性は、プリインストールアプリケーションにおいて任意のコード実行を可能にする危険性がある。この脆弱性は特定の制限されたシナリオでのみ悪用可能であり、システムの機密性に対して限定的な影響を与える可能性がある。

OpenHarmony v5.0.2のUAF脆弱性に関する考察

OpenHarmonyのCommunication DsoftbusにおけるUAF脆弱性は、CVSSスコアが低く評価されているものの、プリインストールアプリケーションを介した攻撃の可能性があることから、適切な対応が必要となる。特に制限されたシナリオでのみ悪用可能という特徴は、脆弱性の影響範囲を限定的にしているが、攻撃者が特定の条件を満たすことで深刻な被害につながる可能性も否定できない。

今後は脆弱性の修正パッチの提供が求められるが、同時にメモリ管理機能の強化やセキュリティテストの拡充も重要となるだろう。OpenHarmonyの開発チームには、プリインストールアプリケーションのセキュリティ強化や、より厳密なメモリ管理メカニズムの実装が期待される。

また、この脆弱性の発見を契機に、OpenHarmonyエコシステム全体のセキュリティレビューの実施も検討に値する。特にプリインストールアプリケーションのセキュリティ基準の見直しや、定期的な脆弱性スキャンの実施など、予防的なセキュリティ対策の強化が望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-20091, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧