双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于多款A(yù)PP應(yīng)用受到libupnp函數(shù)庫(kù)緩沖區(qū)溢出漏洞影響的安全公告

2015-12-15 14:44:27

安全公告編號(hào):CNTA-2015-0027

近日,國(guó)外安全研究機(jī)構(gòu)披露了多款A(yù)PP應(yīng)用受到UPnP協(xié)議libupnp函數(shù)庫(kù)緩沖區(qū)溢出漏洞影響的相關(guān)情況,潛在受影響的移動(dòng)智能終端用戶數(shù)量達(dá)到百萬(wàn)級(jí)。國(guó)家信息安全漏洞共享平臺(tái)(CNVD)之前已經(jīng)收錄了該漏洞(編號(hào)CNVD-2013-00626,對(duì)應(yīng)CVE-2012-5958 ),遠(yuǎn)程攻擊者利用漏洞可造成堆棧溢出,導(dǎo)致設(shè)備死機(jī),更嚴(yán)重地可在受影響設(shè)備上執(zhí)行任意代碼,控制用戶手機(jī)。

一、漏洞情況分析

libupnp是UPnP設(shè)備可移植的SDK,提供了API和開(kāi)源代碼,用于實(shí)現(xiàn)媒體播放(DLAN)或NAT地址轉(zhuǎn)換(UPnPIGD)。智能手機(jī)上的應(yīng)用程序可利用這些功能播放媒體文件,或利用用戶的家庭網(wǎng)絡(luò)連接到其他的設(shè)備。該漏洞存在于libupnp庫(kù)處理簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)包過(guò)程中,此協(xié)議是 Universal Plug N’ Play (UPnP)標(biāo)準(zhǔn)的部分,在處理進(jìn)程中會(huì)出現(xiàn)堆棧溢出,并且需要UDP1900端口打開(kāi)。綜合利用漏洞,攻擊者可利用特制包造成緩沖區(qū)溢出,導(dǎo)致設(shè)備死機(jī),進(jìn)一步可在受影響設(shè)備上執(zhí)行任意代碼。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響Portable UPnPSDK (libupnp) 1.x版本,據(jù)國(guó)外安全研究機(jī)構(gòu)趨勢(shì)科技的統(tǒng)計(jì)數(shù)據(jù),2015年12月以前發(fā)現(xiàn)有547款應(yīng)用使用較低版本的libupnp函數(shù)庫(kù),其中包括應(yīng)用較廣QQ音樂(lè)對(duì)國(guó)內(nèi)用戶影響較為廣泛。下表為趨勢(shì)科技測(cè)試確認(rèn)存在漏洞的應(yīng)用:

Common Name Package Name
AirSmartPlayer com.gk.airsmart.main
Big2Small com.alitech.dvbtoip
CameraAccess plus jp.co.pixela.cameraaccessplus
G-MScreen mktvsmart.screen
HexLink Remote (TV client) hihex.sbrc.services
HexLink-SmartTV remote control com.hihex.hexlink
Hisense Android TV Remote com.hisense.commonremote
nScreen Mirroring for Samsung com.ht.nscreen.mirroring
Ooredoo TV Oman com.ooredootv.ooredoo
PictPrint – WiFi Print App – jp.co.tandem.pictprint
qa.MozaicGO.Android Mozaic GO
QQMusic com.tencent.qqmusic
QQ音樂(lè)HD com.tencent.qqmusicpad
Smart TV Remote com.hisense.common
Wifi Entertainment com.infogo.entertainment.wifi
モバイルTV(StationTV) jp.pixela.px01.stationtv.localtuner.full.app
????TV (?? ??? TV) com.everyontv
多屏看看 com.letv.smartControl
海信分享 com.hisense.hishare.hall

三、漏洞處置情況和修復(fù)建議

廠商已在2012年12月份發(fā)布了漏洞的官方修復(fù)程序,由于很多應(yīng)用封裝的SDK使用的舊版本libupnp,導(dǎo)致應(yīng)用存在漏洞。CNVD提醒使用到第三方庫(kù)的廠商,及時(shí)在產(chǎn)品開(kāi)發(fā)環(huán)境中升級(jí)到最新版本,避免舊版本出現(xiàn)安全問(wèn)題。http://pupnp.sourceforge.net/。

根據(jù)CNVD向騰訊安全響應(yīng)中心(TSRC)問(wèn)詢的情況,TSRC已經(jīng)接收到研究者報(bào)告的情況,并已在2015年11月中旬發(fā)布了升級(jí)程序。CNVD提醒用戶及時(shí)下載更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

附:參考鏈接:

http://blog.trendmicro.com/trendlabs-security-intelligence/high-profile-mobile-apps-at-risk-due-to-three-year-old-vulnerability/

http://security.tencent.com/index.php/blog/msg/99

http://www.cnvd.org.cn/flaw/show/CNVD-2013-00626