DeafNews
// 1 ZERO-DAY · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
News CRITICAL

ZDI-26-359: RCE in Samsung rlottie, patch urgente

Published: Updated: By DeafSuite team 8 min read News
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
L'advisory ZDI-26-359 pubblicato l'11 giugno 2026 dal TrendAI Zero Day Initiative svela una vulnerabilità di esecuzione remota di codice nella libreria grafica open

L'advisory ZDI-26-359 pubblicato l'11 giugno 2026 dal TrendAI Zero Day Initiative svela una vulnerabilità di esecuzione remota di codice nella libreria grafica open source di Samsung, rlottie. La falla, segnalata il primo aprile 2026 dal ricercatore Michael DePlante, sfrutta un integer truncation nei contatori di punti e contorni delle strutture outline. Samsung ha reso disponibile un aggiornamento correttivo. Il rischio è concreto: i file Lottie animati circolano in app di messaggistica, social network e piattaforme web che integrano rlottie per il rendering vettoriale leggero.

Punti chiave
  • ZDI-26-359 permette esecuzione remota di codice arbitrario su installazioni di Samsung rlottie tramite interazione con la libreria
  • La falla radica in un integer truncation causato da mancata validazione di dati controllati dall'attaccante prima della scrittura in memoria
  • La patch, pubblicata su GitHub come pull request #589 e mergiata il 12 maggio 2026, promuove i tipi da short a int in SW_FT_Outline
  • L'assenza di CVE assegnato e di punteggio CVSS nell'advisory riduce la visibilità della vulnerabilità nei sistemi di gestione ordinaria dei rischi

Il meccanismo: come un contatore a 16 bit diventa esecutore

La vulnerabilità si annida nella gestione delle strutture outline di rlottie, che reimplementa pattern tipici del motore FreeType per il rendering di contorni vettoriali. Secondo l'advisory ZDI, «the issue results from the lack of proper validation of user-supplied data, which can result in an integer truncation before writing to memory». I contatori n_contours e n_points, originariamente definiti come short (16 bit signed), troncano valori più ampi forniti dall'attaccante in un file Lottie malevolo.

Il diff della pull request #589 documenta la correzione: i tipi migrano da short a int, i puntatori da short* a int*, e i cast corrispondenti in v_ft_stroker.cpp vengono adeguati. Il commit, hash dcfde72eae1b0464dc0dd760aec00ada6a148635, porta la descrizione «fixed integer overflow in SW_FT_Outline point/contour counters». Il timing è rilevante: mergiato il 12 maggio 2026, quasi due mesi prima della disclosure pubblica, il che suggerisce una coordinazione tra il ricercatore, ZDI e Samsung.

Questo pattern — integer truncation in contatori grafici ereditato da codebase mature — non è nuovo. FreeType stesso ha patito vulnerabilità simili negli anni passati. Il caso di rlottie dimostra come librerie considerate «leggere» e secondarie nell'ecosistema mobile riproducano errori architetturali già affrontati altrove, senza ereditarne le lezioni in fase di progettazione.

"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Samsung rlottie. Interaction with the rlottie library is required to exploit this vulnerability but attack vectors may vary depending on the implementation." — ZDI Advisory ZDI-26-359

Timeline e disclosure: 71 giorni di coordinamento

L'advisory traccia una timeline precisa. Il report iniziale è datato 1º aprile 2026. Il rilascio coordinato pubblico avviene il 11 giugno 2026. Tra le due date, il 12 maggio 2026, il fix viene integrato nel repository GitHub di Samsung. Questo arco di poco più di dieci settimane rientra nella finestra standard di disclosure coordinata, anche se non è chiaro se Samsung abbia distribuito l'aggiornamento attraverso canali ufficiali o se gli sviluppatori debbano intervenire manualmente sul codice sorgente.

Il ricercatore Michael DePlante, alias @izobashi, opera all'interno del TrendAI Zero Day Initiative. L'attribuzione del credito è esplicita nell'advisory. Non emergono, allo stato attuale, sovrapposizioni infrastrutturali che colleghino questa segnalazione ad altri advisories o a campagne di exploit documentate.

Perché rlotti è un bersaglio sottovalutato

Samsung rlottie è la controparte open source della libreria di rendering Lottie sviluppata da Airbnb, ottimizzata per dispositivi mobile e integrata in applicazioni Android, ma anche in progetti cross-platform che cercano performance superiori rispetto alle implementazioni JavaScript-based. I file Lottie — JSON che descrivono animazioni vettoriali — sono onnipresenti: onboarding nelle app, reazioni nei social network, sticker animati nei client di messaggistica, elementi UI nei siti web progressive.

La natura del formato Lottie, testuale e serializzato, lo rende veicolo ideale per attacchi che iniettano payload malevoli nei campi numerici dei contorni. Un file apparentemente innocuo, condiviso tramite CDN o allegato a un messaggio, può attivare rlottie in app che non sanificano l'input prima del parsing. L'advisory ZDI specifica che «attack vectors may vary depending on the implementation», lasciando aperta la possibilità di scenari diversi: preview automatica in chat, rendering di miniature, caricamento in background di animazioni pubblicitarie.

La scarsa visibilità di rlottie rispetto ad altre componenti Samsung — nessun CVE, nessun bollettino di sicurezza consumer, nessuna menzione nei canali ufficiali di threat intelligence — costituisce un problema di per sé. Gli sviluppatori che hanno incluso la libreria come dipendenza transitiva potrebbero non sapere di essere esposti.

Cosa fare adesso

Gli operatori che mantengono codebase con dipendenza diretta o transitiva da Samsung rlottie devono verificare la presenza della patch del 12 maggio 2026 nel proprio albero delle dipendenze. L'aggiornamento è disponibile nel repository GitHub ufficiale attraverso la pull request #589.

Per le applicazioni che processano file Lottie da fonti non attendibili — input utente, reti CDN esterne, canali di messaggistica — la verifica assume priorità assoluta. L'advisory ZDI non specifica versioni esatte vulnerabili; pertanto, ogni deployment pre-patch deve essere considerato a rischio fino a conferma contraria mediante audit del codice integrato.

I team di security DevOps dovrebbero controllare i manifest delle dipendenze (Gradle, CocoaPods, npm wrapper, submodule Git) alla ricerca di rlottie e valutare l'applicabilità del commit dcfde72. In assenza di un sistema automatizzato di aggiornamento della libreria, la sostituzione manuale del codice sorgente è necessaria.

Le organizzazioni che utilizzano scanner di vulnerabilità basati su CVE non troveranno corrispondenza per ZDI-26-359 nel National Vulnerability Database. Questo gap richiede un approccio complementare: monitoraggio degli advisories ZDI direttamente e audit periodico delle librerie grafiche non coperte dai database canonici.

Un debito tecnico che torna a galla

La vulnerabilità ZDI-26-359 non è un'anomalia isolata. È il sintomo di un problema sistemico: librerie grafiche mobili, spesso fork o reimplementazioni di codice maturo, ereditano pattern insicuri senza ereditarne la lunga storia di hardening. Il passaggio da short a int in SW_FT_Outline è meccanicamente corretto, ma rivela che i contatori erano dimensionati su presupposti obsoleti sulla scala dei dati vettoriali — presupposti che un attaccante con controllo sull'input può violare a piacimento.

L'assenza di CVE e CVSS, lontana dall'indicare bassa gravità, segnala piuttosto una lacuna nel ciclo di vita della vulnerabilità. Fino a quando il Common Vulnerabilities and Exposures non assegnerà un identificatore, ZDI-26-359 resterà sotto il radar di molti sistemi di gestione del rischio. Per gli sviluppatori che integrano componenti open source, questo è un promemoria: la sicurezza non segue automaticamente la visibilità, e le librerie «minori» possono ospitare falle maggiori.

Domande frequenti

Quali applicazioni usano rlottie e sono quindi potenzialmente a rischio?

Il dossier non elenca prodotti o applicazioni specifiche che incorporano rlottie. Samsung sviluppa la libreria per il proprio ecosistema Android, ma rlottie è open source e adottabile da terzi. L'advisory ZDI indica che «attack vectors may vary depending on the implementation», senza dettagliare implementazioni note.

È disponibile un exploit pubblico o proof-of-concept?

L'advisory ZDI-26-359 non menziona proof-of-concept né exploit in-the-wild. La natura della falla — integer truncation in contatori grafici — è tecnicamente documentata, ma non sono note campagne di sfruttamento attive al momento della pubblicazione.

Perché non c'è un CVE assegnato?

L'advisory non riporta un identificatore CVE né un punteggio CVSS. Questo può derivare da tempistiche del processo di assegnazione MITRE, da scelte di disclosure del vendor, o dalla natura del prodotto (libreria open source non sempre sottoposta a CNA dedicata). L'assenza di CVE non diminuisce la gravità tecnica della RCE documentata.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Per approfondire

  • Nottingham, il megabreach ERP: circa 454.600 studenti e alumni esposti
  • Gogs, zero-day critico senza patch: RCE CVSS 9.4 con modulo Metasploit
  • Child identity theft: quando il primo debito arriva a 18 anni

Fonti

Fonti e riferimenti
  1. github.com
  2. zerodayinitiative.com