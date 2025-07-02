이 게시물은 부분적으로는 WhatsApp에서 사용하는 이미지 처리 라이브러리의 이중 무료 취약점(CVE-2019-11932)에 대한 분석이며, 부분적으로는 Android에서 네이티브 라이브러리를 퍼징할 때 온디바이스 하네스 개발을 위한 참고 자료입니다. 문제를 공개한 연구원인 Awakened의 블로그 게시물을 읽고 이 취약점을 처음 알게 되었습니다. 작성자는 이 문제가 어떻게 발견되었는지 자세히 설명하지 않았으며, 저는 버그를 재발견하는 것이 얼마나 어려운지 이해하고 싶었습니다. 앞으로 살펴보겠지만, 취약점 자체는 상당히 얕으며 AFL++로 취약한 라이브러리를 퍼징하여 쉽게 재현할 수 있습니다.

이 CVE가 특히 흥미로운 이유는 취약한 라이브러리 코드(android-gif-drawable < v1.2.18)가 누군가에게 변조된 GIF 파일을 전송하여 원격으로 실행될 수 있다는 점입니다. 이 원시적인 방식은 WhatsApp 이미지 갤러리를 여는 것과 같은 일부 수동 작업을 대상에게 의존했기 때문에 완벽하지 않았습니다. 또한 이 취약점은 정보 유출 및 권한 상승과 같은 추가 취약점을 포함하는 더 큰 구성 요소 체인의 일부일 뿐입니다. 그럼에도 불구하고, 이러한 취약점은 인간 지능에 큰 잠재적 가치를 제공하기 때문에 드물고 비용이 많이 듭니다. 또한 이 사례는 애플리케이션이 코드베이스에 포함된 라이브러리를 감사하는 것이 왜 그렇게 중요한지를 잘 보여줍니다. 대기업은 제품에 사용하는 오픈 소스 소프트웨어(OSS)의 보안에 기여하고 보안을 개선하기 위해 더 많은 노력을 기울여야 할 것입니다. 보다 최근의 유사한 사례로 libxml2에서 5개의 취약점이 공개되었습니다.

