libupnp漏洞归来影响大量智能系统设备

简介:

目前趋势科技(Trend Micro )发布了一份报告显示,便携式UPnP设备SDK当中存在一个3年之久的安全漏洞 ,这个被称为 libupnp的漏洞,出现在数以百万计的智能电视,智能手机和路由器当中。

libupnp漏洞归来影响大量智能系统设备

该漏洞影响较为广泛

更加讽刺的是,漏洞本身在2012年12月被修补,但是开发人员大都还是使用包含libupnp漏洞的旧版本SDK开发各种移动应用、智能电视的应用程序、以及路由器的固件。

目前趋势科技估计,该漏洞存在于约610万台设备当中。该公司还检测了不同的智能应用程序,并发现该漏洞存在于547款应用程序当中,谷歌应用程序商店当中有326款这样的应用程序。像是一些热门应用均使用了包含漏洞的旧版本SDK进行开发,它们都使用libupnp播放媒体文件或连接到局域网当中的其他设备。攻击者可以利用这个漏洞在受影响的设备当中触发缓冲区溢出,这反过来会导致远程代码执行。

漏洞导致恶意攻击者远程控制目标设备

大多数攻击者采用缓冲区溢出让设备进入更危险的入侵状态。当大量数据交付到使用固定大小的缓冲区来处理动态输入的设备当中,就引发了缓冲区溢出。如果设备功能配置正确,溢出的数据将会出现丢失现象。如果不是,设备死机或溢出部分数据被写入到内存中。该libupnp库1900端口容易受到缓冲区溢出影响,攻击者可以发送大量简单服务发现协议(SSDP)数据包到这个端口,溢出缓冲区,让设备崩溃,或者在受影响的设备上运行任意代码。

趋势科技(Trend Micro )的移动威胁分析师Veo Zhang表示,“随着研究的深入发现这个漏洞不仅可以导致设备崩溃,还可以使恶意攻击者在受影响的设备上面远程执行恶意程序,也可使得恶意攻击者有机会远程控制该设备。”


作者:亲爱的兔子

来源:51CTO

相关文章
|
安全 测试技术 网络安全
|
Web App开发 安全 iOS开发
Web安全新变化 智能手机是下一个进攻点
Web安全、数据安全和邮件安全解决方案提供商Websense发布了2010年安全趋势预测。经过潜心分析研究,Websense Security Labs研究人员发现未来一年Web威胁的变化趋势是以全面混合的安全威胁为主体,同时包含多种攻击手段,其目标是侵害无辜的计算机并将其变成僵尸网络的一部分,同时窃取有价值的关键信息。
1228 0
|
机器学习/深度学习 安全
张学友演唱会成犯罪分子噩梦,阿里云云盾人发布脸对比功能将进一步提升罪犯监察力度
学友哥演唱会抓罪犯只是一个缩影,近年来,学校、医院等公众场合发生暴力事件频频发生,我们在追责的同时,如何对危险性事件再次发生做好预防是重中之重。在学校医院门口监控系统提前录入潜逃犯罪分子、精神病患者信息,安保人员可利用人脸比对发现可疑险情。
1977 0
|
安全 物联网 C++
记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞
本文讲的是记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞,安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。
1565 0
|
安全 物联网 数据安全/隐私保护
|
监控 安全 Android开发