libexif模糊测试详细解析<\/h1>

libexif介绍<\/h2>
libexif是一个用于解析、编辑和保存EXIF数据的C语言库。它支持EXIF 2.1标准以及2.2标准中的大多数标签。EXIF(Exchangeable Image File Format)是数码相机使用的元数据格式，包含拍摄参数、时间、GPS位置等信息。<\/p>

漏洞介绍<\/h2>
CVE-2009-3895是libexif 0.6.18版本中的一个严重漏洞，位于`libexif\/exif-entry.c<\/code>文件的exif_entry_fix<\/code>函数(也称为标记修复例程)中。该漏洞是一个基于堆的缓冲区溢出漏洞，远程攻击者可以通过构造特殊的EXIF图像造成拒绝服务或可能执行任意代码。<\/p>`

环境搭建<\/h2>
libexif环境搭建<\/h3>


下载libexif 0.6.14源码：<\/p>
wget https:\/\/sourceforge.net\/projects\/libexif\/files\/libexif\/0.6.14\/libexif-0.6.14.tar.gz
<\/span><\/span>tar -xzvf libexif-0.6.14.tar.gz
<\/span><\/span><\/code><\/pre><\/li>

安装依赖：<\/p>
sudo apt-get install autopoint libtool gettext libpopt-dev
<\/span><\/span><\/code><\/pre><\/li>

编译安装：<\/p>
autoreconf -fvi  # 自动生成Makefile<\/span>
<\/span><\/span>.\/configure --prefix=<\/span>"路径"<\/span> --disable-dls
<\/span><\/span>make
<\/span><\/span>make install
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
exif环境搭建<\/h3>


编译安装exif工具：<\/p>
autoreconf -fvi
<\/span><\/span>.\/configure --prefix=<\/span>"\/path\/to\/install"<\/span> --disable-dls
<\/span><\/span>make
<\/span><\/span>make install
<\/span><\/span><\/code><\/pre><\/li>

如果报错缺少popt，安装依赖：<\/p>
sudo apt-get install libpopt-dev
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
模糊测试过程<\/h2>
初始测试与问题发现<\/h3>

使用AFL++的afl-clang-lto重新编译libexif和exif工具<\/li>
开始模糊测试，几分钟后发现程序崩溃<\/li>
通过调试发现调用栈：exif_entry_fix -> exif_entry_realloc<\/code>导致报错<\/li>
进一步分析发现是realloc分配地址不正确导致的中止<\/li>
发现使用的0.6.18版本存在问题，改用0.6.14版本重新测试<\/li>
<\/ol>
正确测试方法<\/h3>

使用0.6.14版本重新编译<\/li>
模糊测试1小时后获得3个有效崩溃样本<\/li>
建议使用正常编译的代码分析崩溃样本，避免插桩代码对分析造成干扰<\/li>
<\/ol>
漏洞分析<\/h2>
调用链二分析<\/h3>
崩溃路径：main -> exif_data_load_data -> exif_data_load_data_content -> memcpy<\/code><\/p>
关键点：<\/p>

exif_data_alloc<\/code>是自定义的堆分配函数<\/li>
多次调用memcpy，最后一次在0x21位置出现一字节溢出<\/li>
漏洞成因：缺少对size大小和堆大小的检测，导致缓冲区溢出<\/li>
<\/ol>
调用链一分析<\/h3>
崩溃路径：main -> exif_loader_get_data -> exif_data_load_data -> exif_get_sshort<\/code><\/p>
关键点：<\/p>

访问不存在地址buf<\/li>
offset值为0xffffffff<\/li>
检查条件offset+6+2 < 0x7c3<\/code>满足，导致buf加上0xffffffff访问非法地址<\/li>
漏洞成因：缺少对offset的有效性检查<\/li>
<\/ol>
EXIF和IFD基础知识<\/h2>

IFD(Image File Directory)：图像文件目录，EXIF数据的组织结构<\/li>
EXIF标签：描述图像属性的键值对<\/li>
exif_ifd_from_string<\/code>：将字符串转换为IFD类型的函数<\/li>
exif_data_load_data_content<\/code>：从数据块中读取EXIF信息并按条目存储<\/li>
<\/ol>
修复建议<\/h2>


对于调用链一：<\/p>

添加对offset的有效性检查<\/li>
确保offset不为负值<\/li>
<\/ul>
<\/li>

对于调用链二：<\/p>

添加对size大小和堆大小的检测<\/li>
确保memcpy操作不会超出分配的内存范围<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
通过模糊测试libexif库，发现了两个关键的漏洞路径：一个是由于缺少offset检查导致的非法内存访问，另一个是由于缺少边界检查导致的堆缓冲区溢出。这两个漏洞都可以通过精心构造的EXIF图像文件触发，可能导致拒绝服务或任意代码执行。修复方案主要是添加适当的边界检查和参数验证。<\/p>

libexif模糊测试详细解析<\/h1>

libexif介绍<\/h2> libexif是一个用于解析、编辑和保存EXIF数据的C语言库。它支持EXIF 2.1标准以及2.2标准中的大多数标签。EXIF(Exchangeable Image File Format)是数码相机使用的元数据格式，包含拍摄参数、时间、GPS位置等信息。<\/p>

模糊测试过程<\/h2>

漏洞分析<\/h2>

libexif介绍<\/h2>
libexif是一个用于解析、编辑和保存EXIF数据的C语言库。它支持EXIF 2.1标准以及2.2标准中的大多数标签。EXIF(Exchangeable Image File Format)是数码相机使用的元数据格式，包含拍摄参数、时间、GPS位置等信息。<\/p>