LINE株式会社からの情報

apng-drawable には整数オーバーフローの脆弱性が存在します。

- apng-drawableを利用して不正な画像を表示することで、整数オーバーフローが起こります。
- アプリケーションのクラッシュを引き起こします。また、任意コードの実行を引き起こす可能性があります。
- 攻撃経路や影響はライブラリの利用方法によって異なります。

修正箇所
- https://github.com/line/apng-drawable/pull/57

リリースノート
- https://github.com/line/apng-drawable/releases/tag/v1.7.0

LINE(Android版)は本件脆弱性の影響を受けました。セキュリティアドバイザリは以下になります。
- https://jvn.jp/jp/JVN97845465/index.html

この脆弱性はLINE社内で発見されました。発見者による解説記事が以下に掲載されています。
- https://engineering.linecorp.com/ja/blog/intern-report-line-client/

更新履歴

2019/10/16