WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞,该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。
旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞(CVE-2019-11931)容易引发DoS攻击或远程执行代码的攻击。
如果想要远程利用此漏洞,攻击者需要的只是目标用户的电话号码,并通过WhatsApp向他们发送恶意制作的MP4文件,该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。
该漏洞影响所有主要平台(包括Google Android,Apple iOS和Microsoft Windows)的WhatsApp的消费者以及企业应用程序。
根据Facebook发布的报告,受影响的应用程序版本列表如下:
- 低于2.19.274的Android版本
- 低于2.19.100的iOS版本
- 低于2.25.3的企业客户端版本
- 包括2.18.368在内的Windows Phone版本
- 适用于Android 2.19.104之前版本的业务
- 适用于iOS 2.19.100之前版本的业务
目前,所有用户需要将WhatsApp更新至最新版本,并禁止从应用程序设置中自动下载图像,音频和视频文件。
WhatsApp告诉THN:“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告,并根据行业最佳实践进行了修复。在这种情况下,没有理由相信用户受到了影响。”
消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册