Компания Trend Micro сообщает об обнаружении уязвимости возрастом 3 года в программном компоненте, используемым во множестве смартфонов, маршрутизаторов и смарт-ТВ. Закрывающее уязвимость обновление было представлено тогда же - в декабре 2012 года - однако специалисты по информационной безопасности нашли 547 приложений, в которых используется необновлённая версия компонента. «Это популярные приложения, которые ставят под угрозу безопасность миллионов пользователей».
Всё больше растёт обеспокоенность тем, как производители устройств относятся к находимым в их продуктах уязвимостям. Оперативность выпуска обновлений у них далеко не так высока, как у главных производителей программного обеспечения, что увеличивает вероятность успешных атак по мере устаревания устройств.
От описанной уязвимости могут пострадать около 6,1 млн. устройств. Исследователи пытаются найти доказательства проведения атак на них и говорят, что они могут приводить не только к сбоям в работе устройств, но и к запуску на них произвольного кода и получению полного контроля над устройствами.
Уязвимость находится в библиотеке libupnp внутри Portable SDK для устройств UPnP. Она используется для воспроизведения мультимедийных файлов и преобразования сетевых адресов. Из 547 приложений 326 находятся в магазине Google Play Store. Масштаб угрозы показывает пример китайской программы QQMusic производства компании Tencent, у которой количество пользователей достигает 100 млн. К счастью, 23 ноября уязвимость в ней была закрыта.