Facebook旗下的WhatApp披露了修复的六个安全漏洞。WhatApp是世界上最流行的应用之一,在全球拥有20多亿用户。
WhatApp此次披露的漏洞类型包括缓冲区错误,输入验证错误,安全特性绕过和跨站脚本,可导致远程执行代码,沙盒绕过和提权,以及跨站脚本攻击。WhatsApp多款产品受到漏洞的影响,包括WhatsApp for Android,WhatsApp Business for Android,WhatsApp for iPhone,WhatsApp Business for iPhone和WhatsApp Desktop。
这些漏洞,其中有两个漏洞是通过Facebook的漏洞赏金计划报告的,其他的是该公司使用自动化系统在例行代码审计中发现的。
WhatsApp此次修复的漏洞列表如下:
|
CVE ID |
类型 |
受影响产品和版本 |
|
CVE-2020-1894 |
缓冲区错误 |
WhatsApp for Android 2.20.35之前版本, WhatsApp Business for Android 2.20.20之前版本, WhatsApp for iPhone 2.20.30之前版本, WhatsApp Business for iPhone 2.20.30之前版本 |
|
CVE-2020-1891 |
缓冲区错误 |
WhatsApp for Android 2.20.17之前版本, WhatsApp Business for Android 2.20.7之前版本, WhatsApp for iPhone 2.20.20之前版本, WhatsApp Business for iPhone 2.20.20之前版本 |
|
CVE-2020-1890 |
输入验证错误 |
WhatsApp for Android 2.20.11之前版本和WhatsApp Business for Android 2.20.2之前版本 |
|
CVE-2020-1889 |
安全特性绕过 |
WhatsApp Desktop 0.3.4932之前版本 |
|
CVE-2020-1886 |
缓冲区错误 |
WhatsApp for Android 2.20.11之前版本和WhatsApp Business for Android 2.20.2之前版本 |
|
CVE-2019-11928 |
跨站脚本 |
WhatsApp Desktop 0.3.4932之前版本 |
虽然其中一些漏洞可被远程触发,但是该公司表示目前尚未有证据证明这些漏洞遭到攻击者的主动利用。
因其庞大的用户量,WhatsApp成为攻击者持续关注的目标,攻击者不断地寻找和利用该平台中的漏洞。去年,WhatsApp控告以色列间谍软件开发商NSO Group,称NSO Group利用该平台中的一个安全漏洞偷偷地将Pegasus间谍软件发送至大概1400台设备,其中包括100名人权护卫人士和新闻记者的设备。
来源:freebuf.com 2020-09-04 14:38:22 by: 偶然路过的围观群众
请登录后发表评论
注册