ニュース
Android版「LINE」アプリに整数オーバーフローの脆弱性
細工された画像を読み込むとアプリがクラッシュしたり、任意のコードが実行される可能性
2019年9月19日 14:02
脆弱性対策情報ポータルサイト“JVN”は9月19日、脆弱性レポート(JVNVU#97845465)を公開した。LINE(株)が提供するAndroid版「LINE」アプリに整数オーバーフローの脆弱性が複数存在するという。
脆弱性レポートによると、Android版「LINE」アプリのv4.4.0以上v9.15.1未満のバージョンには「apng-drawable」ライブラリに起因する整数オーバーフローの脆弱性(CVE-2019-6007)と、画像処理に起因する整数オーバーフローの脆弱性(CVE-2019-6010)が存在する。細工された画像を読み込むとアプリがクラッシュしたり、遠隔の第三者によって任意のコードが実行される可能性がある。
脆弱性の深刻度は、“CVE-2019-6007”が“5.3(CVSS v3)”“6.8(CVSS v2)”、“CVE-2019-6010”が“6.3(CVSS v3)”“6.8(CVSS v2)”。開発者が提供する情報をもとに最新版へアップデートすることが推奨されている。執筆時現在の最新版は、9月18日公開のv9.16.0。アップデートには本脆弱性の修正以外にも、動作の安定化や不具合への対応が行われているとのこと。