• Исследователь безопасности под псевдонимом Awakened обнаружил в популярном мессенджере WhatsApp уязвимость, позволяющую злоумышленникам получать доступ к файлам и сообщениям

    Все что нужно для атаки –создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в WhatsApp.
    Проблема представляет собой уязвимость двойного высвобождения памяти (double-free) – аномалии повреждения памяти, способной вызвать аварийное завершение работы приложение или, еще хуже, предоставить злоумышленнику «лазейку» к содержимому устройства. Все что нужно для осуществления атаки – создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в галерее WhatsApp.

    Как пояснил исследователь, уязвимость затрагивает реализацию галереи, а именно механизм создания превью для изображений, видео и "гифок".

    WA CVE-2019-11932

    Представленный исследователем эксплоит работает преимущественно на устройствах под управлением версий Android 8.1 и 9.0 и не работает на Android 8.0 и более ранних. По словам Awakened, на более старых устройствах уязвимость также можно проэксплуатировать, но только для аварийного завершения работы приложения.

    Awakened уведомил Facebook о проблеме, и компания выпустила исправление. Во избежание атак с эксплуатацией данной уязвимости пользователям WhatsApp настоятельно рекомендуется обновить свои приложения до версии 2.19.244 или более поздней.
    Обновленная версия приложения доступна для скачивания в архиве файлов проекта.

    Источник: Securitylab

Рейтинг@Mail.ru