由恶意GIF文件引发的RCE漏洞，超过40000个应用受影响

本月初，新加坡安全研究员@Awakened披露了关于WhatsApp（2.19.244之前版本）存在的RCE漏洞（CVE-2019-11932）利用的文章，该漏洞由Android-gif-Drawable开源库中double-free错误触发。

攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件，就可以获得WhatsApp的应用权限，在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。

在Facebook和该开源库的开发者合作下，目前已经顺利修复了该漏洞。

但事情似乎并没有那么简单，Android-gif-Drawable用于Android系统进行GIF图像解析的开源库，通过JNI捆绑Giflib的方式对帧数进行渲染，与WebView类和Movie类相比渲染效率较高，截至目前，在GitHub上得到的Star数已经超过7800。腾讯安全玄武实验室阿图因系统分析结果显示，该GIF开源库被大量安卓APP使用，全球范围内43619个使用该GIF开源库开发的安卓APP可能受此漏洞影响。

因此，double-free错误的存在影响的应该远远不止WhatsApp。凡使用该GIF开源库进行GIF图像解析的安卓应用（APP）都可能受此漏洞影响。攻击者通过向受影响的APP用户远程发送恶意GIF文件，可在目标设备的APP应用权限环境下执行任意代码（安卓8.0版本及以上）或导致应用拒绝服务（安卓8.0版本以下）。

TK教主也关注到了该漏洞，并在朋友圈表示，“基本每个互联网企业都有产品受影响，不过微信和QQ并没有用这个（GIF开源库）”。

目前，开发者在九月初就已经修复了开源库存在的这个bug,版本号v1.2.18级以上均不再受影响。建议采用该GIF开源库的APP开发者尽快更换到最新的版本，尽快推送新版的APP更新以缓解风险。当然，无论是否有漏洞影响，用户在使用终端设备时尽量避免打开未知风险的文件。

Android-gif-Drawable开源库发行地址：https://github.com/koral–/android-gif-drawable/releases