libupnp漏洞归来影响大量智能系统设备
libupnp漏洞归来影响大量智能系统设备
2015-12-07 16:45:19 来源: FreeBuf 抢沙发
2015-12-07 16:45:19 来源: FreeBuf
摘要:目前趋势科技(Trend Micro )发布了一份报告显示,便携式UPnP设备SDK当中存在一个3年之久的安全漏洞 ,这个被称为 libupnp的漏洞,出现在数以百万计的智能电视,智能手机和路由器当中。
关键词:
漏洞
目前趋势科技(Trend Micro )发布了一份报告显示,便携式UPnP设备SDK当中存在一个3年之久的安全漏洞 ,这个被称为 libupnp的漏洞,出现在数以百万计的智能电视,智能手机和路由器当中。
该漏洞影响较为广泛
更加讽刺的是,漏洞本身在2012年12月被修补,但是开发人员大都还是使用包含libupnp漏洞的旧版本SDK开发各种移动应用、智能电视的应用程序、以及路由器的固件。
目前趋势科技估计,该漏洞存在于约610万台设备当中。该公司还检测了不同的智能应用程序,并发现该漏洞存在于547款应用程序当中,谷歌应用程序商店当中有326款这样的应用程序。像是一些热门应用均使用了包含漏洞的旧版本SDK进行开发,它们都使用libupnp播放媒体文件或连接到局域网当中的其他设备。攻击者可以利用这个漏洞在受影响的设备当中触发缓冲区溢出,这反过来会导致远程代码执行。
漏洞导致恶意攻击者远程控制目标设备
大多数攻击者采用缓冲区溢出让设备进入更危险的入侵状态。当大量数据交付到使用固定大小的缓冲区来处理动态输入的设备当中,就引发了缓冲区溢出。如果设备功能配置正确,溢出的数据将会出现丢失现象。如果不是,设备死机或溢出部分数据被写入到内存中。该libupnp库1900端口容易受到缓冲区溢出影响,攻击者可以发送大量简单服务发现协议(SSDP)数据包到这个端口,溢出缓冲区,让设备崩溃,或者在受影响的设备上运行任意代码。
趋势科技(Trend Micro )的移动威胁分析师Veo Zhang表示,“随着研究的深入发现这个漏洞不仅可以导致设备崩溃,还可以使恶意攻击者在受影响的设备上面远程执行恶意程序,也可使得恶意攻击者有机会远程控制该设备。”
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。