Awakened氏の脆弱性に関する記述に基づいて、私はGIFデコード・ルーチンに注目しました。GIFファイルは、ヘッダーと論理画面記述子の後に続く各フレームのレコードのストリームという構造になっています。これらのレコードは、画像記述子（幅、高さ、位置、パレット）、オプションの拡張ブロック（透明性、遅延など）、および圧縮ピクセルデータで構成されます。decoding.cでは、DDGifSlurpという関数がありますが、これはGIFレコードのストリームを学習し、フレームごとのメタデータを構築するものです。decode=trueの場合、フレームごとの生のピクセルが抽出されます。通常、フレームは同じサイズです。GIFを見ると、一連のフレームがループ内で再生されていることがわかるため、これが理にかなっています。フレームが同じサイズの場合、この関数はバッファー（ rasterBits）を保管するために作成した割り当てを再利用し続けます。ただし、フレームのサイズが異なる場合、この関数はreallocarrayを呼び出して、新しいバッファーを割り当てることにより処理します。realloc関数は、freeとmallocを組み合わせたものです。サイズが指定されない場合は、ポインターが解放されるだけです。

df309bb - decoding.cのコミットはこちら

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {

GifRecordType RecordType;

GifByteType *ExtData;

int ExtFunction;

GifFileType *gifFilePtr;

gifFilePtr = info->gifFilePtr;

uint_fast32_t lastAllocatedGCBIndex = 0;



...



if (decode) {

int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;

int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;

const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-

->Image.Height;

if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {

void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,

sizeof(GifPixelType));

if (tmpRasterBits == NULL) {

gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;

break;

}

info->rasterBits = tmpRasterBits;

info->rasterSize = newRasterSize;

}



...

最初のフレームが40*10という正常な寸法を持つとすると、400バイトのバッファが割り当てられます。このケースでは2番目のフレームは、0*20という不正な寸法を持っているので、次のようになります：

widthOverflowがfalse

heightOverflowがtrue

newRasterSizeが0

reallocarrayが呼び出されると、割り当てサイズは0*20=0;として計算され、これによりrasterBitsが解放されます。3番目のフレームも同様に不正な次元がある場合、同じポインターが再び解放され、結果としてダブルフリーになります。