近日，国外安全研究机构披露了多款APP应用受到Universal Plug N’ Play协议（以下简称“UPnP”）libupnp函数库缓冲区溢出漏洞影响。该漏洞之前已被国家信息安全漏洞共享平台（CNVD）收录，编号CNVD-2013-00626，对应CVE-2012-5958 。CNCERT第一时间对相关情况进行了解和分析，具体通报如下：

        一、漏洞情况分析

        libupnp是UPnP设备可移植的SDK，提供了API和开源代码，用于实现媒体播放（DLAN）或NAT地址转换（UPnP IGD）。智能手机上的应用程序可利用这些功能播放媒体文件，或利用用户的家庭网络连接到其他的设备。

        该漏洞存在于 libupnp库处理简单服务发现协议（SSDP）包过程中，此协议是UPnP标准的部分，在处理进程中会出现堆栈溢出，并且需要UDP 1900端口打开。综合利用漏洞，攻击者可利用特制包造成缓冲区溢出，导致设备死机，进一步可在受影响设备上执行任意代码，控制用户手机。CNVD对该漏洞的综合评级为“高危”。

        二、漏洞影响范围

        漏洞影响Portable UPnP SDK (libupnp) 1.x版本，据国外安全研究机构趋势科技的统计数据，2015年12月以前发现有547款应用使用较低版本的libupnp函数库，其中包括应用较广QQ音乐对国内用户影响较为广泛。目前已确认受该漏洞影响的应用信息详见附表一。

        三、漏洞处置情况和修复建议

        厂商已在2012年12月份发布了漏洞的官方修复程序，由于很多应用封装的SDK使用的旧版本libupnp，导致应用存在漏洞。CNCERT提醒使用到第三方库的厂商，及时在产品开发环境中升级到最新版本，避免旧版本出现安全问题。libupnp官方网站为http://pupnp.sourceforge.net/。

        根据CNCERT向腾讯安全响应中心（TSRC）问询的情况，TSRC已经接收到研究者报告的情况，并已在2015年11月中旬发布了升级程序。CNCERT提醒用户及时下载更新，避免引发漏洞相关的网络安全事件。

        CNCERT 将继续跟踪事件后续情况，做好国内用户受影响情况的监测和预警工作。同时，请国内相关单位做好信息系统应用情况排查工作，如需技术支援，请联系 CNCERT。电子邮箱： cncert@cert.org.cn，联系电话： 010-82990999。

        附表一：存在漏洞的应用信息