:

Szerző: Hlács Ferenc

2019. november 18. 14:25

Súlyos WhatsApp sebezhetőséget javított a Facebook

A bug távoli kódfuttatást is lehetővé tett egy megfelelően preparált videofájl birtokában.

Kritikus sebezhetőséget javított a WhatsAppban a Facebook, a chatalkalmazásban talált puffertúlcsordulásos sérülékenységet potenciális támadók megfelelően perparált MP4 fájlokkal használhatták ki, és távoli kódfuttatásra is lehetőséget szerezhettek vele.

A CVE-2019-11931 kódszám alatt követett bugról a közösségi óriás egyelőre nem árult el túl sok technikai részletet, mindössze annyit közölt, a probléma az MP4 videofájlok bizonyos metaadatainak feldolgozásában gyökerezik, és távoli kódfuttatás, illetve DoS, azaz szolgáltatásmegtagadásos támadások előtt is utat nyithat.

whatasppill

Egyelőre úgy tűnik, a hibát élesben nem használták ki, amit nyilatkozatában a Facebook szóvivője is megerősített, a felhasználóknak mindenesetre késlekedés nélkül érdemes frissíteni a legújabb elérhető verzióra, amelyben a vállalat már javította a bugot. A hiba Androidon a 2.19.274-et megelőző verziókat érinti, iOS platformon pedig a 2.19.100-as kiadás előtti appokat kell mielőbb frissíteni. A problémát a vállalati felhasználók sem úszták meg, Androidon az app 2.19.104-nál korábbi verziói, iOS-en pedig ugyancsak a 2.19.100-asnál régebbi kiadások érintettek. Az Enterprise Clientre is érkezett javítás, a 2.25.3-as verzióval.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Ezzel tovább növekszik a WhatsApp közelmúltban felfedezett sebezhetőségeinek listája, idén májusban egy VoIP hibának köszönhetően az izareli NSO Group világszerte közel 1400 Android és iOS eszközre telepítette a Pegasus spyware-t, amiért a Facebook két hete pert is indított a vállalat ellen.

Persze valószínűleg az anyacég biztonsági és adatvédelmi fiaskóit sem kell ecsetelni, alig néhány hete derült ki, hogy mintegy száz fejlesztő illetéktelenül fért hozzá facebookos csoportadatokhoz, szeptember elején a közösségi oldal több százmillió felhasználójának telefonszáma szivárgott ki, nyáron pedig a Messenger gyerekeknek szánt verziója, a Messenger Kids került tűz alá, miután egy bug jóváhagyás nélküli chatelést tett lehetővé a felületen. A WhatsApp - szerencsére úgy tűnik időben elcsípett - sebezhetőségével a lista tovább bővül, újabb kérdőjeleket húzva a cég biztonsági gyakorlatai köré.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról