トレンドマイクロ、610万台に影響する脆弱性の存在する旧バージョンのlibupnpの使用を確認
libupnpと呼ばれるPortable SDK for UPnP Devicesライブラリに存在する脆弱性により危険にさらされている端末が610万台あることをトレンドマイクロが確認した。旧バージョンのlibupnpにはバッファオーバーフローの脆弱性が存在し、2012年の12月にこの脆弱性が修正された。にもかかわらず、現在も旧バージョンを使用しているアプリが547存在し、そのうち326はGoogle Playで提供されている。人気があり多くのユーザが利用しているNetflixやTencent、QQMusicなどのアプリも旧バージョンのlibupnpが使用されている。
この脆弱性はSimple Service Discovery Protocol(SSDP)パケットの処理の問題により、プロセスの間にスタックオーバーフローが発生し、UDPポート1900の展開を要求される。この脆弱性が悪用されると、任意のコードが実行されデバイスが制御される恐れがあり、悪用コードも出回っている。
トレンドマイクロは、現在も脆弱性の存在するlibupnpを使用しているアクティブな20のアプリを確認した。同社のその後の調査で、Netflixでは独自のフォークを使用しており、フォークで脆弱性が修正されているため、脆弱性の影響は受けないことが判明した。また、 Linphone 及びTencentには同社からこの脆弱性の報告を行い、修正版を公開した。
