 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
18 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Разработчики мессенджера исправили серьезный баг, связанный с некорректной обработкой файлов в формате MP4.
Разработчики WhatsApp исправили серьезную уязвимость, которая могла привести к отказу в обслуживании или удаленному выполнению кода. Баг получил заплатку еще в октябре, однако в Facebook предпочли не разглашать эту информацию, чтобы пользователи успели установить важное обновление. О проблеме стало известно лишь после публикации бюллетеня безопасности, который компания выпустила 14 ноября 2019 года.
Недостаток связан с неправильной обработкой метаданных элементарного потока при воспроизведении видео в формате MP4. Для эксплуатации уязвимости злоумышленник должен узнать номер телефона жертвы и отправить ей специально созданный файл. Воспроизведение вредоносного объекта в WhatsApp вызовет переполнение буфера стека и приведет к зависанию программы, а в некоторых случаях позволит атакующему запустить сторонний скрипт на устройстве.
Элементарный поток (Elementary Stream) — определенная стандартом MPEG зашифрованная последовательность данных одного типа, передаваемая на выход аудио- или видеодекриптора.
Уязвимость зарегистрирована в базе данных MITRE как CVE-2019-11931. Недостаток затронул мобильные версии WhatsApp для Android, iOS и Windows Mobile, а также варианты мессенджера для корпоративных клиентов.
Разработчики добавили патч, устраняющий проблему, в следующие версии WhatsApp:
Актуальная на данный момент версия WhatsApp для Windows Phone 2.18.368 остается уязвимой для атак с использованием бага. Разработчик прекращает поддержку мессенджера для мобильной операционной системы Microsoft 31 декабря 2019 года. Будет ли до этого момента выпущен еще один релиз программы — неизвестно.
Представители Facebook заявили, что не знают о случаях эксплуатации CVE-2019-11931 в дикой природе.
«Мы постоянно работаем над повышением безопасности нашего сервиса и публикуем отчеты о потенциальных проблемах, которые мы исправили, в соответствии с лучшими отраслевыми практиками. В данном случае нет никаких оснований полагать, что пользователи были затронуты», — заявил представитель WhatsApp в комментарии для издания The Hacker News.
В октябре этого года мессенджер получил важный апдейт, который закрывал RCE-уязвимость, возникавшую при просмотре GIF-файлов. Критическая ошибка неправильного использования памяти возникала только на Android-устройствах и позволяла атакующему повысить свои привилегии, а также выполнить вредоносный код.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
