OpenHarmony v4.1.0～v5.0.3のバッファオーバーフロー脆弱性CVE-2025-25052が公開、迅速なアップデートが必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年05月のアーカイブ一覧
【2025年05月】セキュリティに関するアーカイブ一覧
【2025年05月08日】セキュリティに関するアーカイブ一覧
OpenHarmony v4.1.0～v5.0.3のバッファオーバーフロー脆弱性CVE-2025-25052が公開、迅速なアップデートが必要

記事の要約

OpenHarmony v5.0.3以前のバージョンの脆弱性が公開された
Arkcompiler_ets_runtimeにバッファオーバーフローの脆弱性がある
ローカル攻撃者によるDoS攻撃が可能

OpenHarmonyのセキュリティ脆弱性情報公開

OpenHarmonyは2025年5月6日、OpenHarmony v5.0.3以前のバージョンにおけるセキュリティ脆弱性に関する情報を公開した。この脆弱性は、Arkcompiler_ets_runtimeコンポーネントのバッファオーバーフローに起因するもので、ローカル攻撃者がサービス運用妨害（DoS）を引き起こす可能性があるのだ。

具体的には、CWE-120（バッファコピー時の入力サイズチェックの欠如）に該当する脆弱性であり、CVSSスコアは3.3（低リスク）と評価されている。影響を受けるバージョンはv4.1.0からv5.0.3までである。OpenHarmonyは、この脆弱性に対処するためのアップデートを提供する予定だ。

この脆弱性情報は、OpenHarmonyのセキュリティチームによって発見され、公開された。迅速な対応とアップデートの適用が、システムの安全性を確保するために重要である。ユーザーは、最新のセキュリティアップデートを適用することで、この脆弱性によるリスクを軽減できるだろう。

影響を受けるOpenHarmonyバージョンと対策

項目	詳細
公開日	2025年5月6日
脆弱性名	Arkcompiler_ets_runtimeバッファオーバーフロー
影響を受けるバージョン	v4.1.0～v5.0.3
CVSSスコア	3.3 (LOW)
CWE	CWE-120
攻撃ベクトル	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
対策	最新バージョンへのアップデート

詳細情報

バッファオーバーフロー脆弱性について

バッファオーバーフローとは、プログラムがデータ格納領域（バッファ）の境界を超えてデータ書き込みを行う脆弱性のことだ。これは、プログラムがバッファのサイズを適切にチェックせずにデータを受け入れる場合に発生する。

予期せぬプログラムのクラッシュ
データの破損
任意のコード実行

バッファオーバーフローは、深刻なセキュリティリスクとなる可能性がある。攻撃者は、この脆弱性を悪用してシステムをクラッシュさせたり、任意のコードを実行したりすることができるのだ。

CVE-2025-25052に関する考察

OpenHarmonyにおける今回のバッファオーバーフロー脆弱性（CVE-2025-25052）は、ローカル攻撃者によるDoS攻撃を許容するものであった。幸い、CVSSスコアが3.3と低く評価されており、リモートからの攻撃は困難であると考えられる。しかし、ローカルネットワーク内での攻撃は容易であるため、注意が必要だ。

今後、同様の脆弱性が他のOpenHarmonyコンポーネントでも発見される可能性がある。そのため、OpenHarmony開発チームは、継続的なセキュリティ監査と迅速なパッチ適用を行う必要があるだろう。また、ユーザーは、常に最新のセキュリティアップデートを適用し、システムの安全性を維持する努力を怠らないべきだ。

さらに、開発者向けには、バッファオーバーフローを防ぐためのコーディング規約やセキュリティ教育の強化が求められる。安全なソフトウェア開発手法の普及が、将来的な脆弱性発生の抑制に繋がるだろう。