亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

關(guān)于多款APP應(yīng)用受到libupnp函數(shù)庫緩沖區(qū)溢出漏洞影響的安全公告

2015-12-15 14:44:27

安全公告編號:CNTA-2015-0027

近日,國外安全研究機構(gòu)披露了多款APP應(yīng)用受到UPnP協(xié)議libupnp函數(shù)庫緩沖區(qū)溢出漏洞影響的相關(guān)情況,潛在受影響的移動智能終端用戶數(shù)量達到百萬級。國家信息安全漏洞共享平臺(CNVD)之前已經(jīng)收錄了該漏洞(編號CNVD-2013-00626,對應(yīng)CVE-2012-5958 ),遠程攻擊者利用漏洞可造成堆棧溢出,導致設(shè)備死機,更嚴重地可在受影響設(shè)備上執(zhí)行任意代碼,控制用戶手機。

一、漏洞情況分析

libupnp是UPnP設(shè)備可移植的SDK,提供了API和開源代碼,用于實現(xiàn)媒體播放(DLAN)或NAT地址轉(zhuǎn)換(UPnPIGD)。智能手機上的應(yīng)用程序可利用這些功能播放媒體文件,或利用用戶的家庭網(wǎng)絡(luò)連接到其他的設(shè)備。該漏洞存在于libupnp庫處理簡單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)包過程中,此協(xié)議是 Universal Plug N’ Play (UPnP)標準的部分,在處理進程中會出現(xiàn)堆棧溢出,并且需要UDP1900端口打開。綜合利用漏洞,攻擊者可利用特制包造成緩沖區(qū)溢出,導致設(shè)備死機,進一步可在受影響設(shè)備上執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響Portable UPnPSDK (libupnp) 1.x版本,據(jù)國外安全研究機構(gòu)趨勢科技的統(tǒng)計數(shù)據(jù),2015年12月以前發(fā)現(xiàn)有547款應(yīng)用使用較低版本的libupnp函數(shù)庫,其中包括應(yīng)用較廣QQ音樂對國內(nèi)用戶影響較為廣泛。下表為趨勢科技測試確認存在漏洞的應(yīng)用:

Common Name Package Name
AirSmartPlayer com.gk.airsmart.main
Big2Small com.alitech.dvbtoip
CameraAccess plus jp.co.pixela.cameraaccessplus
G-MScreen mktvsmart.screen
HexLink Remote (TV client) hihex.sbrc.services
HexLink-SmartTV remote control com.hihex.hexlink
Hisense Android TV Remote com.hisense.commonremote
nScreen Mirroring for Samsung com.ht.nscreen.mirroring
Ooredoo TV Oman com.ooredootv.ooredoo
PictPrint – WiFi Print App – jp.co.tandem.pictprint
qa.MozaicGO.Android Mozaic GO
QQMusic com.tencent.qqmusic
QQ音樂HD com.tencent.qqmusicpad
Smart TV Remote com.hisense.common
Wifi Entertainment com.infogo.entertainment.wifi
モバイルTV(StationTV) jp.pixela.px01.stationtv.localtuner.full.app
????TV (?? ??? TV) com.everyontv
多屏看看 com.letv.smartControl
海信分享 com.hisense.hishare.hall

三、漏洞處置情況和修復建議

廠商已在2012年12月份發(fā)布了漏洞的官方修復程序,由于很多應(yīng)用封裝的SDK使用的舊版本libupnp,導致應(yīng)用存在漏洞。CNVD提醒使用到第三方庫的廠商,及時在產(chǎn)品開發(fā)環(huán)境中升級到最新版本,避免舊版本出現(xiàn)安全問題。http://pupnp.sourceforge.net/。

根據(jù)CNVD向騰訊安全響應(yīng)中心(TSRC)問詢的情況,TSRC已經(jīng)接收到研究者報告的情況,并已在2015年11月中旬發(fā)布了升級程序。CNVD提醒用戶及時下載更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

附:參考鏈接:

http://blog.trendmicro.com/trendlabs-security-intelligence/high-profile-mobile-apps-at-risk-due-to-three-year-old-vulnerability/

http://security.tencent.com/index.php/blog/msg/99

http://www.cnvd.org.cn/flaw/show/CNVD-2013-00626