ΑρχικήSecurityΕλάττωμα στο WhatsApp επιτρέπει πρόσβαση στο local file system

Ελάττωμα στο WhatsApp επιτρέπει πρόσβαση στο local file system

WhatsApp

Μία κρίσιμη ευπάθεια που ανακαλύφθηκε στην εφαρμογή WhatsApp, επιδιορθώθηκε από το Facebook. Η ευπάθεια αυτή μπορούσε να επιτρέψει σε έναν επιτιθέμενο να αποκτήσει πρόσβαση σε αρχεία του local file system, τόσο σε Windows όσο και σε MacOS συσκευές.

Όλες οι εκδόσεις του WhatsApp Desktop πριν την v0.3.9309 επηρεάζονται από αυτή την ευπάθεια, όταν συνδυάζονται με τις εκδόσεις του WhatsApp για iPhone πριν από την 2.20.10.

Το ελάττωμα, το οποίο ονομάστηκε CVE-2019-18426, έχει βαθμολογηθεί με 8.2 όσον αφορά τη σοβαρότητά του, αλλά παρόλο που θα μπορούσε να αξιοποιηθεί εξ αποστάσεως, απαιτεί επίσης την αλληλεπίδραση των χρηστών για να είναι επιτυχές.

Ένας ερευνητής της PerimeterX, ο Gal Weizman, ανακάλυψε πρώτος το ελάττωμα όταν βρήκε ένα κενό στο Content Security Policy του WhatsApp.

Εξετάζοντας την ανακάλυψή του, ο Weizman κατάφερε να αποκτήσει δικαιώματα πρόσβασης στο τοπικό σύστημα αρχείων τόσο σε Windows όσο και σε MacOS συσκευές.

Ο ερευνητής λέει ότι θεωριτικά “εάν τρέχετε μια παλιά έκδοση μιας ευάλωτης εφαρμογής, μπορεί κάποιος να εκμεταλλευτεί αυτήν την ευπάθεια και να κάνει άσχημα πράγματα σε σας”.

Πριν το Facebook επιδιορθώσει την ευπάθεια, μπορούσε να επιτρέψει στους εισβολείς να εισάγουν κακόβουλο κώδικα και συνδέσμους μέσα στα μηνύματα που στέλνονται σε ανυποψίαστους χρήστες.

Μπορείτε να δείτε μία πιο αναλυτική και εξήγηση σχετικά με τον τρόπο που λειτουργεί η ευπάθεια και το πώς ανακαλύφθηκε εδώ.

Το Facebook έχει επιδιορθώσει ένα σφάλμα στο WhatsApp, που θα μπορούσε να χρησιμοποιηθεί για να σταματήσουν τη λειτουργία της εφαρμογής στα τηλέφωνα των μελών μιας ομάδας και ένα άλλο που επέτρεψε στους επιτιθέμενους να τροποποιήσουν ή να αντικαταστήσουν αρχεία πολυμέσων από τον εξωτερικό χώρο αποθήκευσης μιας συσκευής, πριν ο παραλήπτης μπορέσει να τα δει.

Μία άλλη κρίσιμη ευπάθεια που ανακαλύφθηκε στο WhatsApp, τόσο σε Android όσο και σε iOS, που θα μπορούσε να σταματήσει τη λειτουργία της εφαρμογής, όταν ο χρήστης απαντούσε σε μια κλήση, είχε διορθωθεί τον Οκτώβριο του 2018. Στο μεταξύ ένα ελάττωμα που ανακάλυψε η CheckPoint, χρησιμοποιήθηκε από τον Weizman ως έμπνευση για την έρευνά του.

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS