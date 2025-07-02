本文既是对 WhatsApp 所用图像处理库中双重释放漏洞（CVE-2019-11932）的分析，也可作为在 Android 平台模糊测试原生库时开发设备端测试工具的参考。我最初是通过阅读漏洞披露者 Awakened 的研究博客了解到此漏洞。原作者未详述漏洞发现过程，而我想了解重新发现该漏洞的难度。正如我们将要看到的，该漏洞本身相对浅显，使用AFL++对漏洞库进行模糊测试即可轻松复现。

此 CVE 之所以特别值得关注，是因为漏洞库代码（android-gif-drawable < v1.2.18 版本）可通过向目标发送畸形 GIF 文件远程触发。该利用条件虽不完美——需要目标执行手动操作（如打开 WhatsApp 图片库），且仅能作为包含信息泄露、权限提升等额外漏洞的大型利用链的环节，但此类漏洞因可能提供极高情报价值而极为稀有且昂贵。此案例也说明，应用程序审核其代码库所包含的库文件至关重要。大型企业或许应为其产品中使用的开源软件（OSS）安全改进做出更多贡献。近期类似的案例是libxml2 库中五个漏洞的披露。