你相信嗎?一個(gè)3年前已經(jīng)曝出漏洞的“古老”的軟件開(kāi)發(fā)工具包,如今還在繼續(xù)使用,并且還令數(shù)以百萬(wàn)計(jì)的智能設(shè)備(包括智能手機(jī),路由器,電視機(jī)等)處于危險(xiǎn)之中!?。?/p>
據(jù)國(guó)外媒體報(bào)道,安全廠商Trend Micro發(fā)布的一份最新報(bào)告顯示,便攜式UPnP設(shè)備SDK當(dāng)中存在一個(gè)3年之久的安全漏洞——libupnp,雖然該漏洞已在2012年12月被修補(bǔ),但是仍有不少開(kāi)發(fā)人員還在使用包含libupnp漏洞的舊版本SDK開(kāi)發(fā)各種移動(dòng)應(yīng)用,智能電視的應(yīng)用程序,以及路由器的固件。
該漏洞將使攻擊者可以利用遠(yuǎn)程代碼攻擊智能手機(jī)、路由器、電視機(jī)等智能設(shè)備,安全廠商的研究人員表示,至少有610萬(wàn)臺(tái)智能終端處于危險(xiǎn)之中。與此同時(shí),該安全廠商還通過(guò)掃描不同的應(yīng)用程序發(fā)展,該漏洞已在于547款應(yīng)用程序當(dāng)中,其中谷歌Play商店當(dāng)中存在326款包含該漏洞的應(yīng)用程序,包括知名的CameraAccess、nScreen Mirroring等等。
另外值得中國(guó)用戶注意的是,QQMusic這個(gè)應(yīng)用程序同樣存在風(fēng)險(xiǎn),而目前其在谷歌Play商店的下載量已經(jīng)超過(guò)100萬(wàn)次。安全研究人員指出,該libupnp庫(kù)容易受到緩沖區(qū)溢出影響,攻擊者可以發(fā)送超大的簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)數(shù)據(jù)包到這個(gè)端口,溢出緩沖區(qū),讓設(shè)備崩潰,或者在受影響的設(shè)備上運(yùn)行任意代碼
安全廠商的研究人員指出,該libupnp庫(kù)容易受到緩沖區(qū)溢出影響,攻擊者可以發(fā)送超大的簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)數(shù)據(jù)包到這個(gè)端口,溢出緩沖區(qū),讓設(shè)備崩潰,或者在受影響的設(shè)備上運(yùn)行任意代碼。
最后,安全廠商的研究人員提示,建議相關(guān)廠商盡快進(jìn)行應(yīng)用軟件的修復(fù),同時(shí)再開(kāi)發(fā)新應(yīng)用程序時(shí),選擇已經(jīng)修復(fù)了漏洞的新版本的libupnp進(jìn)行開(kāi)發(fā)。