关联漏洞
标题:Android Framesequence库安全漏洞 (CVE-2017-0478)Description:Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Framesequence Library是用于其中的一个GIF图片工具包库。 Android中的Framesequence库存在远程代码执行漏洞。攻击者可借助特制的文件利用该漏洞执行任意代码。以下版本受到影响:Android 5.0.2,5.1.1,6.0,6.0.1,7.0,7.1.1版本。
介绍
# CVE-2017-0478
poc of CVE-2017-0478
The file of FrameSequence_webp.cpp is not compiled in AOSP currently, so when you compile libframesequence.so with webp,
you need compile with FRAMESEQUENCE_INCLUDE_WEBP(like this: FRAMESEQUENCE_INCLUDE_WEBP=true mm -B)
文件快照
[4.0K] /data/pocs/e0f930f8babdacd638b4b1badd2b0666d0866e69
├── [4.0K] poc
│ ├── [ 863] AndroidManifest.xml
│ ├── [1.3K] Android.mk
│ ├── [4.0K] build.xml
│ ├── [ 51] proguard.flags
│ ├── [ 563] project.properties
│ ├── [4.0K] res
│ │ ├── [4.0K] drawable-hdpi
│ │ │ └── [9.2K] ic_launcher.png
│ │ ├── [4.0K] drawable-mdpi
│ │ │ └── [5.1K] ic_launcher.png
│ │ ├── [4.0K] drawable-xhdpi
│ │ │ └── [ 14K] ic_launcher.png
│ │ ├── [4.0K] layout
│ │ │ └── [1.4K] basic_test_activity.xml
│ │ ├── [4.0K] raw
│ │ │ ├── [ 34K] animated_gif.gif
│ │ │ └── [372K] animated_webp.webp
│ │ └── [4.0K] values
│ │ ├── [ 598] strings.xml
│ │ └── [ 148] styles.xml
│ └── [4.0K] src
│ └── [4.0K] com
│ └── [4.0K] android
│ └── [4.0K] framesequence
│ └── [4.0K] samples
│ ├── [4.1K] FrameSequenceTest.java
│ └── [2.4K] SamplesList.java
└── [ 263] README.md
13 directories, 16 files
备注
1. 建议优先通过来源进行访问。
2. 本地 POC 快照面向订阅用户开放;当原始来源失效或无法访问时,本地镜像作为订阅权益的一部分提供。
3. 持续抓取、验证、维护这份 POC 档案需要不少投入,因此本地快照已纳入付费订阅。您的订阅是让这份资料能继续走下去的关键,由衷感谢。 查看订阅方案 →