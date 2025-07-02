Questo post è in parte un'analisi di una vulnerabilità double-free (CVE-2019-11932) in una libreria di elaborazione immagini utilizzata da WhatsApp e in parte un riferimento per lo sviluppo di harness on-device durante il fuzzing di librerie native su Android. Ho scoperto questa vulnerabilità leggendo un post sul blog di Awakened, il ricercatore che ha rivelato il problema. L'autore non ha approfondito come sia stato risolto questo problema, e volevo capire quanto sarebbe stato difficile riscoprire il bug. Come vedremo, la vulnerabilità stessa è piuttosto superficiale ed è facile da riprodurre tramite il fuzzing della libreria vulnerabile con AFL++.

Questo CVE è particolarmente interessante perché il codice della libreria vulnerabile (android-gif-drawable < v1.2.18) potrebbe essere attivato da remoto inviando a qualcuno un file GIF malformato. Questa primitiva non era perfetta, in quanto si basava sull'esecuzione di alcune azioni manuali da parte dell'obiettivo, come l'apertura della galleria di immagini di WhatsApp. Inoltre, questa vulnerabilità sarebbe solo una parte di una catena di componenti più ampia che includerebbe vulnerabilità aggiuntive, ad esempio per eseguire fughe di informazioni e aumentare i privilegi. Tuttavia, questi tipi di vulnerabilità sono rari e costosi a causa del potenziale valore di intelligence umana che forniscono. Questo caso illustra anche perché è così importante che le applicazioni effettuino controlli delle librerie che includono nel loro codice base. Le grandi imprese dovrebbero forse fare di più per contribuire e migliorare la sicurezza del Software Open-Source (OSS) che utilizzano nei loro prodotti. Un esempio più recente e analogo ha portato alla divulgazione di cinque vulnerabilità in libxml2.

