:

Szerző: Hlács Ferenc

2019. november 18. 14:25

Súlyos WhatsApp sebezhetőséget javított a Facebook

A bug távoli kódfuttatást is lehetővé tett egy megfelelően preparált videofájl birtokában.

Kritikus sebezhetőséget javított a WhatsAppban a Facebook, a chatalkalmazásban talált puffertúlcsordulásos sérülékenységet potenciális támadók megfelelően perparált MP4 fájlokkal használhatták ki, és távoli kódfuttatásra is lehetőséget szerezhettek vele.

A CVE-2019-11931 kódszám alatt követett bugról a közösségi óriás egyelőre nem árult el túl sok technikai részletet, mindössze annyit közölt, a probléma az MP4 videofájlok bizonyos metaadatainak feldolgozásában gyökerezik, és távoli kódfuttatás, illetve DoS, azaz szolgáltatásmegtagadásos támadások előtt is utat nyithat.

whatasppill

Egyelőre úgy tűnik, a hibát élesben nem használták ki, amit nyilatkozatában a Facebook szóvivője is megerősített, a felhasználóknak mindenesetre késlekedés nélkül érdemes frissíteni a legújabb elérhető verzióra, amelyben a vállalat már javította a bugot. A hiba Androidon a 2.19.274-et megelőző verziókat érinti, iOS platformon pedig a 2.19.100-as kiadás előtti appokat kell mielőbb frissíteni. A problémát a vállalati felhasználók sem úszták meg, Androidon az app 2.19.104-nál korábbi verziói, iOS-en pedig ugyancsak a 2.19.100-asnál régebbi kiadások érintettek. Az Enterprise Clientre is érkezett javítás, a 2.25.3-as verzióval.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Ezzel tovább növekszik a WhatsApp közelmúltban felfedezett sebezhetőségeinek listája, idén májusban egy VoIP hibának köszönhetően az izareli NSO Group világszerte közel 1400 Android és iOS eszközre telepítette a Pegasus spyware-t, amiért a Facebook két hete pert is indított a vállalat ellen.

Persze valószínűleg az anyacég biztonsági és adatvédelmi fiaskóit sem kell ecsetelni, alig néhány hete derült ki, hogy mintegy száz fejlesztő illetéktelenül fért hozzá facebookos csoportadatokhoz, szeptember elején a közösségi oldal több százmillió felhasználójának telefonszáma szivárgott ki, nyáron pedig a Messenger gyerekeknek szánt verziója, a Messenger Kids került tűz alá, miután egy bug jóváhagyás nélküli chatelést tett lehetővé a felületen. A WhatsApp - szerencsére úgy tűnik időben elcsípett - sebezhetőségével a lista tovább bővül, újabb kérdőjeleket húzva a cég biztonsági gyakorlatai köré.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról