Súlyos WhatsApp sebezhetőséget javított a Facebook
A bug távoli kódfuttatást is lehetővé tett egy megfelelően preparált videofájl birtokában.
Kritikus sebezhetőséget javított a WhatsAppban a Facebook, a chatalkalmazásban talált puffertúlcsordulásos sérülékenységet potenciális támadók megfelelően perparált MP4 fájlokkal használhatták ki, és távoli kódfuttatásra is lehetőséget szerezhettek vele.
A CVE-2019-11931 kódszám alatt követett bugról a közösségi óriás egyelőre nem árult el túl sok technikai részletet, mindössze annyit közölt, a probléma az MP4 videofájlok bizonyos metaadatainak feldolgozásában gyökerezik, és távoli kódfuttatás, illetve DoS, azaz szolgáltatásmegtagadásos támadások előtt is utat nyithat.
Egyelőre úgy tűnik, a hibát élesben nem használták ki, amit nyilatkozatában a Facebook szóvivője is megerősített, a felhasználóknak mindenesetre késlekedés nélkül érdemes frissíteni a legújabb elérhető verzióra, amelyben a vállalat már javította a bugot. A hiba Androidon a 2.19.274-et megelőző verziókat érinti, iOS platformon pedig a 2.19.100-as kiadás előtti appokat kell mielőbb frissíteni. A problémát a vállalati felhasználók sem úszták meg, Androidon az app 2.19.104-nál korábbi verziói, iOS-en pedig ugyancsak a 2.19.100-asnál régebbi kiadások érintettek. Az Enterprise Clientre is érkezett javítás, a 2.25.3-as verzióval.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Ezzel tovább növekszik a WhatsApp közelmúltban felfedezett sebezhetőségeinek listája, idén májusban egy VoIP hibának köszönhetően az izareli NSO Group világszerte közel 1400 Android és iOS eszközre telepítette a Pegasus spyware-t, amiért a Facebook két hete pert is indított a vállalat ellen.
Persze valószínűleg az anyacég biztonsági és adatvédelmi fiaskóit sem kell ecsetelni, alig néhány hete derült ki, hogy mintegy száz fejlesztő illetéktelenül fért hozzá facebookos csoportadatokhoz, szeptember elején a közösségi oldal több százmillió felhasználójának telefonszáma szivárgott ki, nyáron pedig a Messenger gyerekeknek szánt verziója, a Messenger Kids került tűz alá, miután egy bug jóváhagyás nélküli chatelést tett lehetővé a felületen. A WhatsApp - szerencsére úgy tűnik időben elcsípett - sebezhetőségével a lista tovább bővül, újabb kérdőjeleket húzva a cég biztonsági gyakorlatai köré.