Найти в Дзене
ТЕХНИЧЕСКИЕ НОВОСТИ
6 подписчиков

WhatsApp раскрывает 6 проблем безопасности, которые могли бы привести к тому, что его пользователи были " взломаны’

2
1 мин
Принадлежащий Facebook WhatsApp выявил шесть уязвимостей в приложении, которые могли позволить злоумышленникам удаленно передавать вредоносные коды через изображения, URL-адреса и видеозвонки. WhatsApp утверждает, что эти уязвимости теперь исправлены, но нет никакой официальной информации о том, согласно WhatsApp, ошибка, теперь идентифицируемая как CVE-2020-1894, могла позволить выполнение произвольного кода при воспроизведении специально созданного сообщения push to talk. Это было вызвано переполнением стека записи в WhatsApp для Android до версии v2.20.35 и WhatsApp для iPhone до версии v2.20.30. Та же проблема была и в соответствующих бизнес-приложениях WhatsApp.
У WhatsApp также была проблема с проверкой URL-адреса. "WhatsApp для Android до версии v2.20.11 и WhatsApp Business для Android до версии v2.20.2 могли привести к тому, что получатель сообщения с наклейкой, содержащего намеренно искаженные данные, загружал изображение с контролируемого отправителем URL-адреса без взаимоде
Изображение использовано из материалов geekmaze.ru
Изображение использовано из материалов geekmaze.ru

Принадлежащий Facebook WhatsApp выявил шесть уязвимостей в приложении, которые могли позволить злоумышленникам удаленно передавать вредоносные коды через изображения, URL-адреса и видеозвонки. WhatsApp утверждает, что эти уязвимости теперь исправлены, но нет никакой официальной информации о том, согласно WhatsApp, ошибка, теперь идентифицируемая как CVE-2020-1894, могла позволить выполнение произвольного кода при воспроизведении специально созданного сообщения push to talk. Это было вызвано переполнением стека записи в WhatsApp для Android до версии v2.20.35 и WhatsApp для iPhone до версии v2.20.30. Та же проблема была и в соответствующих бизнес-приложениях WhatsApp.

У WhatsApp также была проблема с проверкой URL-адреса. "WhatsApp для Android до версии v2.20.11 и WhatsApp Business для Android до версии v2.20.2 могли привести к тому, что получатель сообщения с наклейкой, содержащего намеренно искаженные данные, загружал изображение с контролируемого отправителем URL-адреса без взаимодействия с пользователем”, - пояснил он.


WhatsApp также имел “проблему проверки ввода " в настольных версиях WhatsApp до версии v0.3.4932. Эта проблема могла бы позволить межсайтовый сценарий при нажатии на ссылку из специально созданного сообщения о реальном местоположении, говорится в нем.


"Переполнение буфера в WhatsApp для Android до версии v2. 20. 11 и WhatsApp Business для Android до версии v2.20. 2 могло бы позволить выход за пределы записи через специально созданный видеопоток после получения и ответа на вредоносный видеовызов", - сказал WhatsApp, описывая еще одну проблему с


Обо всех шести уязвимостях сообщается на консультативном сайте WhatsApp по безопасности. Этот сайт будет вести учет всех обновлений системы безопасности, а также общих уязвимостей и рисков (CVE). Цель этого веб-сайта в основном состоит в том, чтобы продвигать WhatsApp как прозрачную сущность, а также помочь исследователям безопасности лучше понять проблемы и ошибки. Наряду с объяснением деталей уязвимости, WhatsApp дает пользователям понять, как определенные ошибки могли быть использованы злоумышленниками. Далее уточняется, что " описания CVE предназначены для того, чтобы помочь исследователям понять технические сценарии, и не подразумевают, что пользователи были затронуты таким образом.”были ли затронуты пользователи или нет.