由恶意GIF文件引发的RCE漏洞，超过40000个应用受影响

文章预览

本月初，新加坡安全研究员@Awakened披露了关于WhatsApp（2.19.244之前版本）存在的RCE漏洞（CVE-2019-11932）利用的文章，该漏洞由Android-gif-Drawable开源库中double-free错误触发。 攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件，就可以获得WhatsApp的应用权限，在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。 在Facebook和该开源库的开发者合作下，目前已经顺利修复了该漏洞。 但事情似乎并没有那么简单，Android-gif-Drawable用于Android系统进行GIF图像解析的开源库，通过JNI捆绑Giflib的方式对帧数进行渲染，与WebView类和Movie类相比渲染效率较高，截至目前，在GitHub上得到的Star数已经超过7800。腾讯安全玄武实验室阿图因系统分析结果显 ………………………………