セキュリティ

SECURITY

公開：2025-03-11

【CVE-2025-21098】OpenHarmony v5.0.2以前のLiteos-Aに脆弱性、情報漏洩のリスクに対応が必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenHarmonyにセンシティブ情報の安全でない保存の脆弱性
• v4.1.0からv5.0.2まで影響する範囲型の脆弱性
• 権限チェックのバイパスにより情報漏洩の可能性

OpenHarmony v5.0.2以前のLiteos-Aにおける脆弱性

OpenHarmonyは2025年3月4日、同社のオペレーティングシステムv5.0.2以前のバージョンにおいて、Liteos-Aにセンシティブ情報の安全でない保存の脆弱性が存在することを公開した。この脆弱性は【CVE-2025-21098】として識別されており、権限チェックのバイパスを通じた範囲外読み取りによって情報漏洩を引き起こす可能性があることが指摘されている。^[1]

この脆弱性の深刻度はCVSS v3.1で5.5（中程度）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。影響を受けるバージョンはOpenHarmony v4.1.0からv5.0.2までのバージョンであり、ローカル攻撃者による情報漏洩のリスクが存在することが明らかになった。

OpenHarmonyの脆弱性はCWE-922（センシティブ情報の安全でない保存）に分類されており、SSVCによる評価では自動化可能な悪用は「なし」、技術的影響は「部分的」と判断されている。この脆弱性の詳細な情報は、OpenHarmonyのセキュリティ開示ページで公開されており、影響を受けるユーザーに対して適切な対応を促している。

OpenHarmony v5.0.2の脆弱性詳細

センシティブ情報の安全でない保存について

センシティブ情報の安全でない保存とは、重要な情報を適切な保護メカニズムなしで保存することを指す脆弱性の一種であり、以下のような特徴がある。

• 暗号化されていない重要データの保存リスク
• 適切なアクセス制御の欠如による情報漏洩の危険性
• 権限チェックのバイパスによる未認可アクセスの可能性

OpenHarmonyの事例では、Liteos-Aにおける権限チェックのバイパス問題が指摘されており、範囲外読み取りによる情報漏洩のリスクが存在している。この種の脆弱性は、適切なアクセス制御メカニズムの実装と定期的なセキュリティ監査によって防止することが可能だが、システムの複雑性が増すにつれて見落としが発生するケースが増えている。

OpenHarmonyの脆弱性対応に関する考察

OpenHarmonyの脆弱性対応における重要な点は、影響を受けるバージョンが明確に特定され、CVSS評価による深刻度の判断が適切に行われていることである。しかしながら、IoTデバイスやスマートデバイスの普及に伴い、OpenHarmonyを採用する機器の増加が予想されることから、今後はより迅速な脆弱性の検出と対応が求められるだろう。

今後の課題として、センシティブ情報の保護メカニズムの強化と、権限チェックシステムの改善が挙げられる。特にIoTデバイスのセキュリティ要件が厳格化する中、OpenHarmonyには既存の保護機能の強化だけでなく、新たなセキュリティ機能の追加も期待されている。

これらの改善を実現するためには、開発者コミュニティとの連携強化とセキュリティテストの拡充が不可欠となる。特に権限管理システムの再設計や、暗号化機能の強化など、基盤となるセキュリティ機能の見直しが重要となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21098, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧