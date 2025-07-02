Cet article est en partie une analyse d’une vulnérabilité de type double-free (CVE-2019-11932) dans une bibliothèque de traitement d’image utilisée par WhatsApp et en partie une référence pour le développement de harnais sur appareil lors du fuzzing de bibliothèques natives sur Android. J’ai découvert cette vulnérabilité pour la première fois en lisant un article de blog d’Awakened, le chercheur qui a révélé le problème. L’auteur n’a pas expliqué comment ce problème avait été détecté, et je voulais comprendre à quel point il serait difficile de redécouvrir le bogue. Comme nous allons le voir, la vulnérabilité elle-même est assez superficielle et facile à reproduire en fuzzant la bibliothèque vulnérable avec AFL++.

Cette CVE est particulièrement intéressante car le code de la bibliothèque vulnérable (android-gif-drawable < v1.2.18) pourrait être déclenché à distance en envoyant à quelqu’un un fichier GIF malformé. Cette primitive n’était pas parfaite car elle dépendait d’une action manuelle de la cible, comme l’ouverture de la galerie d’images WhatsApp. De plus, cette vulnérabilité ne serait qu’une partie d’une chaîne plus vaste qui inclurait des vulnérabilités supplémentaires, par exemple pour provoquer des fuites d’informations et élever les privilèges. Pourtant, ces types de vulnérabilités sont rares et coûteux en raison de la valeur potentielle qu’ils apportent en termes de renseignement d’origine humaine. Ce cas illustre également pourquoi il est si important que les applications auditent les bibliothèques qu’elles incluent dans leur base de code. Les grandes entreprises devraient peut-être faire davantage pour contribuer à améliorer la sécurité des logiciels open source qu’elles utilisent dans leurs produits. Un exemple plus récent et analogue a conduit à la divulgation de cinq vulnérabilités dans libxml2.

