公開日:
2019/09/12 最終更新日:
2019/10/16
LINE株式会社からの情報
脆弱性識別番号:JVN#39383894
脆弱性タイトル:apng-drawable における整数オーバーフローの脆弱性
ステータス:
以下の情報は、製品開発者から JVN に提供されたものです。
apng-drawable には整数オーバーフローの脆弱性が存在します。
- apng-drawableを利用して不正な画像を表示することで、整数オーバーフローが起こります。
- アプリケーションのクラッシュを引き起こします。また、任意コードの実行を引き起こす可能性があります。
- 攻撃経路や影響はライブラリの利用方法によって異なります。
修正箇所
- https://github.com/line/apng-drawable/pull/57
リリースノート
- https://github.com/line/apng-drawable/releases/tag/v1.7.0
LINE(Android版)は本件脆弱性の影響を受けました。セキュリティアドバイザリは以下になります。
- https://jvn.jp/jp/JVN97845465/index.html
この脆弱性はLINE社内で発見されました。発見者による解説記事が以下に掲載されています。
- https://engineering.linecorp.com/ja/blog/intern-report-line-client/