tombkeeper
2019-10-29 20:05:18 发布
昨天 CNVD 发了公告(
网页链接),所以我现在可以说一下 CVE-2019-11932,就是 android-gif-drawable 库的漏洞。
这个漏洞最初是被一个安全研究者 Awakened 作为 WhatsApp 的漏洞报给 Facebook 的。虽然 Facebook 的公告和 Awakened 自己的分析文章里都说了问题根源出在 android-gif-drawable,但只有很少的人注意到了这个问题,并关注这个漏洞是否还影响其它 APP。
因为我们很早以前就开始关注供应链安全,2015 年研发的阿图因系统的一个重要功能就是软件供应链安全,所以借助阿图因系统很容易就看到全世界其实有四万多 APP 都用了有漏洞的库。几乎每个互联网巨头都有产品用了这个库。
当然,用了这个库不一定有漏洞触达路径。我们实验室做了抽样测试,从结果看,可能有 5%~10% 的 APP 中漏洞是可触达的。因为基数很大,所以即使保守估计可触发漏洞的 APP 绝对数量也至少过千。而且测试中我们发现有一些用户量过亿的 APP 用了这个库并且漏洞可触达。
两周前我们把信息报送给了 CNVD,同时也通知给了一些相关互联网企业。但因为影响范围太大,所以如果你是安卓 APP 开发者,建议自查一下是否用了这个库。
2019-10-29 20:05:18 发布
昨天 CNVD 发了公告(
网页链接),所以我现在可以说一下 CVE-2019-11932,就是 android-gif-drawable 库的漏洞。这个漏洞最初是被一个安全研究者 Awakened 作为 WhatsApp 的漏洞报给 Facebook 的。虽然 Facebook 的公告和 Awakened 自己的分析文章里都说了问题根源出在 android-gif-drawable,但只有很少的人注意到了这个问题,并关注这个漏洞是否还影响其它 APP。
因为我们很早以前就开始关注供应链安全,2015 年研发的阿图因系统的一个重要功能就是软件供应链安全,所以借助阿图因系统很容易就看到全世界其实有四万多 APP 都用了有漏洞的库。几乎每个互联网巨头都有产品用了这个库。
当然,用了这个库不一定有漏洞触达路径。我们实验室做了抽样测试,从结果看,可能有 5%~10% 的 APP 中漏洞是可触达的。因为基数很大,所以即使保守估计可触发漏洞的 APP 绝对数量也至少过千。而且测试中我们发现有一些用户量过亿的 APP 用了这个库并且漏洞可触达。
两周前我们把信息报送给了 CNVD,同时也通知给了一些相关互联网企业。但因为影响范围太大,所以如果你是安卓 APP 开发者,建议自查一下是否用了这个库。