公開日:
2019/09/19 最終更新日:
2019/10/16
LINE株式会社からの情報
脆弱性識別番号:JVN#97845465
脆弱性タイトル:LINE (Android版) における複数の整数オーバーフローの脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
本件脆弱性は、LINE(Android版)内で利用している画像ライブラリに起因するものです。
- LINE(Android版)内で不正な画像を表示することで、整数オーバーフローが起こります。
- アプリケーションのクラッシュを引き起こします。また、潜在的に任意コードの実行を引き起こす可能性があります。
弊社で確認している範囲では、トーク画面のサムネイル表示は影響を受けず、利用者が明示的に画像を開く操作が必要です。
また高度な攻撃を可能とするような攻撃コードの作成には成功していません。
2019年9月5日にリリースされた、バージョン 9.15.1 以降で修正されています。
原因となったライブラリの一つである apng-drawable のセキュリティアドバイザリは以下になります
- https://jvn.jp/jp/JVN39383894/index.html
この脆弱性はLINE社内で発見されました。発見者による解説記事が以下に掲載されています。
- https://engineering.linecorp.com/ja/blog/intern-report-line-client/