📌 一句话摘要

概述了通过模糊测试发现的 DjVuLibre 关键越界写漏洞 (CVE-2025-53367)，攻击者可通过特制文档在 Linux 系统实现代码执行，维护团队在 48 小时内发布了修复补丁。

📝 详细摘要

本文披露了 CVE-2025-53367，这是通过模糊测试 Evince 文档阅读器在 DjVuLibre 3.5.29 中发现的关键越界写漏洞。该缺陷存在于 MMRDecoder::scanruns 方法中，未经验证的缓冲区写入会导致堆破坏。PoC 利用程序展示了通过欺骗默认 Linux 文档查看器 (Evince/Papers) 处理恶意 DjVu 文件（即使伪装成 PDF）实现远程代码执行的能力。虽然 AppArmor 配置文件缓解了该漏洞（限制任意进程执行但允许 Chrome 访问），但利用程序仍能绕过 ASLR 通过 Google Chrome 执行命令。文章提供了漏洞的技术分析，包括显示缺失边界检查的代码片段，并强调了维护团队在报告后两天内修复问题的快速响应速度。

💡 主要观点

1. 通过模糊测试发现 DjVuLibre 可导致代码执行的越界写漏洞 MMRDecoder::scanruns 方法未校验缓冲区边界，通过模糊测试发现该缺陷，攻击者可通过特制文档触发堆破坏，在 Linux 桌面环境实现远程代码执行
2. 漏洞利用可绕过文件扩展名检测 即使恶意 DjVu 文件伪装成 PDF 格式，默认文档查看器仍会调用 DjVuLibre 解析，使得攻击更具隐蔽性
3. PoC 证明可绕过 ASLR 但受 AppArmor 策略限制 尽管存在地址空间随机化保护，漏洞利用仍能可靠执行命令，但 AppArmor 策略限制仅允许通过 Google Chrome 执行特定操作，无法启动任意进程
4. 维护团队在 48 小时内发布修复补丁 从漏洞报告到修复版本发布仅耗时两天，体现了开源社区对安全问题的快速响应能力，成为漏洞修复的典型案例
5. 漏洞研究采用系统化的模糊测试方法 通过针对 Evince 文档阅读器的模糊测试发现该漏洞，展示了现代安全研究中自动化测试工具的关键作用

💬 文章金句

• 我们要特别感谢 Léon Bottou 和 Bill Riemers 的快速响应，在我们首次联系他们后不到两天就发布了修复补丁！
• 当用户尝试打开特制文档时，该漏洞可能被利用来在 Linux 桌面系统上获取代码执行权限。
• 即使 DjVu 文件的文件名带有 .pdf 扩展名，Evince/Papers 也会自动检测其为 DjVu 文档并调用 DjVuLibre 进行解码。
• 该 PoC 在完全更新的 Ubuntu 25.04 (x86_64) 系统上有效，且所有标准安全保护均已启用。
• scanruns 方法没有检查这些指针是否保持在分配缓冲区的边界内。

📊 文章信息