新郑IT教育网


python站群系统

东风破游戏-由恶意GIF文件引发的RCE漏洞,超过40000个应用受影响

本月初,新加坡安全研究员@Awakened披露了关于WhatsApp(2.19.244之前版本)存在的RCE东风破游戏(CVE-2019-11932)利用的文章,该东风破游戏由Android-gif-Drawable开源库中double-free错误触发。

攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件,就可以获得WhatsApp的应用权限,在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。

在Facebook和该开源库的开发者合作下,目前已经顺利修复了该东风破游戏。

但事情似乎并没有那么简单,Android-gif-Drawable用于Android系统进行GIF图像解析的开源库,通过JNI捆绑Giflib的方式对帧数进行渲染,与WebView类和Movie类相比渲染效率较高,截至目前,在GitHub上得到的Star数已经超过7800。腾讯安全玄武实验室阿图因系统分析结果显示,该GIF开源库被大量安卓APP使用,全球范围内43619个使用该GIF开源库开发的安卓APP可能受此东风破游戏影响。

因此,double-free错误的存在影响的应该远远不止WhatsApp。凡使用该GIF开源库进行GIF图像解析的安卓应用(APP)都可能受此东风破游戏影响。攻击者通过向受影响的APP用户远程发送恶意GIF文件,可在目标设备的APP应用权限环境下执行任意代码(安卓8.0版本及以上)或导致应用拒绝服务(安卓8.0版本以下)。

TK教主也关注到了该东风破游戏,并在朋友圈表示,“基本每个互联网企业都有产品受影响,不过微信和QQ并没有用这个(GIF开源库)”。

目前,开发者在九月初就已经修复了开源库存在的这个bug,版本号v1.2.18级以上均不再受影响。建议采用该GIF开源库的APP开发者尽快更换到最新的版本,尽快推送新版的APP更新以缓解风险。当然,无论是否有东风破游戏影响,用户在使用终端设备时尽量避免打开未知风险的文件。

Android-gif-Drawable开源库发行地址:https://github.com/koral–/android-gif-drawable/releases

Android-gif-Drawable开源库发行地址:https://github.com/koral–/android-gif-drawable/releases

开源库 东风破游戏 安卓 阿图 版本