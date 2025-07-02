Posting ini sebagian merupakan analisis kerentanan bebas ganda (CVE-2019-11932) di perpustakaan pemrosesan gambar yang digunakan oleh WhatsApp dan sebagian referensi untuk pengembangan harness pada perangkat saat memburamkan pustaka asli di Android. Saya pertama kali mengetahui kerentanan ini dengan membaca sebuah postingan blog dari Awakened, peneliti yang mengungkapkan masalah ini. Penulis tidak menjelaskan bagaimana masalah ini ditemukan, dan saya ingin memahami betapa sulitnya menemukan kembali bug tersebut. Seperti yang akan kita lihat, kerentanan itu sendiri cukup dangkal dan mudah direproduksi dengan memburamkan perpustakaan yang rentan dengan AFL ++.

CVE ini sangat menarik karena kode pustaka yang rentan(android-gif-drawable < v1.2.18) dapat dipicu dari jarak jauh dengan mengirimkan file GIF yang rusak kepada seseorang. Metode ini belum sempurna karena tetap perlu campur tangan korban, contohnya ketika mereka membuka galeri gambar WhatsApp. Selain itu, kerentanan ini hanya akan menjadi bagian dari rantai komponen yang lebih besar yang akan mencakup kerentanan tambahan, misalnya, untuk melakukan kebocoran informasi dan untuk meningkatkan hak istimewa. Meski demikian, jenis kerentanan seperti ini tergolong langka dan mahal karena potensi nilai intelijen manusia yang dapat diberikannya. Kasus ini juga menunjukkan betapa pentingnya bagi aplikasi untuk mengaudit pustaka-pustaka yang mereka sertakan dalam basis kode mereka. Perusahaan besar mungkin harus berbuat lebih banyak untuk berkontribusi dan meningkatkan keamanan Perangkat Lunak Sumber Terbuka (OSS) yang mereka gunakan dalam produk mereka. Contoh analog yang lebih baru menghasilkan pengungkapan lima kerentanan di libxml2.

