LINE株式会社からの情報

本件脆弱性は、LINE(Android版)内で利用している画像ライブラリに起因するものです。

- LINE(Android版)内で不正な画像を表示することで、整数オーバーフローが起こります。
- アプリケーションのクラッシュを引き起こします。また、潜在的に任意コードの実行を引き起こす可能性があります。

弊社で確認している範囲では、トーク画面のサムネイル表示は影響を受けず、利用者が明示的に画像を開く操作が必要です。
また高度な攻撃を可能とするような攻撃コードの作成には成功していません。
2019年9月5日にリリースされた、バージョン 9.15.1 以降で修正されています。

原因となったライブラリの一つである apng-drawable のセキュリティアドバイザリは以下になります
- https://jvn.jp/jp/JVN39383894/index.html

この脆弱性はLINE社内で発見されました。発見者による解説記事が以下に掲載されています。
- https://engineering.linecorp.com/ja/blog/intern-report-line-client/

更新履歴

2019/10/16