:

Szerző: Hlács Ferenc

2020. február 6. 12:56

A helyi fájlokhoz is hozzáférést adott az asztali WhatsApp kliens sebezhetősége

A kritikus hibát a Facebook már Windows és macOS platformokon is javította.

Kritikus biztonsági rést javított az asztali WhatsApp kliensben a Facebook, amely illetéktelenek számára is hozzáférést biztosított az adott számítógépen tárolt fájlokhoz, legyen szó Windowst vagy macOS-t futtató eszközökről, és akár phishing támadások előtt is utat nyitott.

A hibát Gal Weizman, a PerimeterX biztonsági szakértője fedezte fel: egy XSS vagy cross-site scripting sebezhetőségről van szó, amely a WhatsApp kliens által is használt, keresztplatformos Electron keretrendszer implementációjának gyengesége miatt bukkant fel a szoftverben. A kliens sérülékenysége kiemelten nagy biztonsági kockázatot hordoz, hiszen ahogy a ThreatPost is rámutat, az asztali WhatsApp 1,5 milliárd havi aktív felhasználóval rendelkezik. A CVE-2019-1842 kód alatt követett sebezhetőség az asztali kliens 0.3.9309-nél korábbi verziói mellett az iOS-es variáns 2.20.10-nél korábbi kiadásaiban is lehetővé teszi az XSS támadásokat, és a helyben tárolt fájlokhoz való hozzáférést.whatsappill

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Ehhez a támadóknak egy megfelelően preparált üzenetet kell elküldeniük a felhasználónak, aki ha lekattintja az abban található hivatkozást, áldozatul is esik a támadásnak. Az ügyet súlyosbítja, hogy a sebezhetőséget kihasználva a támadók az adott link előnézetét is módosítani tudják, így az első blikkre egy ártalmatlan oldalnak tűnhet, míg valójában kártékony felületre mutat. Mindez az előnézetekért felelős JavaScript kód módosításával érhető el - de utóbbival az előnézet mellett akár maga a hivatkozás is egy hiteles, biztonságos oldal címének álcázható.

Ahogy a kutató is rámutat, szerencsére a modern böngészők egy része már védelmet biztosít a hasonló, megtévesztő hivatkozások ellen, beleértve a friss Chrome-ot is, a Safari ugyanakkor például még nem rendelkezik a megfelelő védelemmel, valamint a Chromium framework régebbi kiadásai sem, amelyekre a WhatsApp kliens sebezhető verziói is támaszkodnak. A Facebook a fentebb említett verziókból már kigyomlálta a hibát és az új Chrome keretrendszerre ültette át azokat - aki eddig nem tette, érdemes a klienst haladéktalanul frissíteni.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról