Android-gif-Drawable开源库远程代码执行漏洞安全通告
发布时间 2019-10-28漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
使用Android-gif-Drawable库进行GIF图像处理,且Android-gif-Drawable库版本在1.2.18以下的安卓APP受此漏洞影响。iOS应用不受此漏洞影响。
漏洞概述
Android-gif-Drawable是用于Android系统进行GIF图像解析的开源库(以下简称GIF开源库)。GIF开源库通过JNI捆绑Giflib的方式对帧数进行渲染,与WebView类和Movie类相比渲染效率较高,因此得到了广泛应用。
2019年5月,安全研究人员发现Android版本的WhatsApp(2.19.244版本之前)存在内存重复释放漏洞(CVE-2019-11932,对应CNVD-C-2019-144833),攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件,就可以获得WhatsApp的应用权限,在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。
研究发现,上述漏洞是由GIF开源库导致的。凡使用该GIF开源库进行GIF图像解析的安卓应用(APP)都可能受此漏洞影响。攻击者通过向受影响的APP用户远程发送恶意GIF文件,可在目标设备的APP应用权限环境下执行任意代码(安卓8.0版本及以上)或导致应用拒绝服务(安卓8.0版本以下)。此漏洞编号为CNVD-2019-35254。
该GIF开源库被大量安卓APP使用,全球范围内43619个使用该GIF开源库开发的安卓APP可能受此漏洞影响。
漏洞验证
暂无POC/EXP。
修复建议
1、版本进行全面排查,发现问题后及时安装Android-gif-Drawable开源库更新应用补丁(https://github.com/koral--/android-gif-drawable/pull/673/commits/4944c92761e0a14f04868cbcf4f4e86fd4b7a4a9),或整体替换至最新版本(https://github.com/koral--/android-gif-drawable/releases/tag/v1.2.18),并向用户及时推送新版本的APP。
2、用户使用手机端APP时,不要浏览和存储来历不明的GIF文件。
参考链接
https://mp.weixin.qq.com/s/VDE8glwxHHy8fnChGwAuqw
京公网安备11010802024551号