Android版「LINE」アプリに整数オーバーフローの脆弱性

“JVN”の脆弱性レポート（JVNVU#97845465）

　脆弱性対策情報ポータルサイト“JVN”は9月19日、脆弱性レポート（JVNVU#97845465）を公開した。LINE（株）が提供するAndroid版「LINE」アプリに整数オーバーフローの脆弱性が複数存在するという。

　脆弱性レポートによると、Android版「LINE」アプリのv4.4.0以上v9.15.1未満のバージョンには「apng-drawable」ライブラリに起因する整数オーバーフローの脆弱性（CVE-2019-6007）と、画像処理に起因する整数オーバーフローの脆弱性（CVE-2019-6010）が存在する。細工された画像を読み込むとアプリがクラッシュしたり、遠隔の第三者によって任意のコードが実行される可能性がある。

　脆弱性の深刻度は、“CVE-2019-6007”が“5.3（CVSS v3）”“6.8（CVSS v2）”、“CVE-2019-6010”が“6.3（CVSS v3）”“6.8（CVSS v2）”。開発者が提供する情報をもとに最新版へアップデートすることが推奨されている。執筆時現在の最新版は、9月18日公開のv9.16.0。アップデートには本脆弱性の修正以外にも、動作の安定化や不具合への対応が行われているとのこと。