Лучшие приложения.
Лучшие приложения.
Лучшие приложения.
Лучшие приложения.


В WhatsApp закрыли уязвимость с использованием вредоносных GIF-файлов




Разработчики WhatsApp закрыли уязвимость, которая могла приводить к выполнению стороннего кода, сообщает Threatpost. Баг CVE-2019-11932 позволяет злоумышленникам атаковать Android-устройства с помощью вредоносных GIF-файлов. Демонстрацию этой уязвимости можно увидеть на видео.

Проблема связана с ошибкой класса double-free, которая возникает при попытке дважды освободить ячейку памяти. В случае WhatsApp это происходит из-за некорректной работы одной из библиотек, отвечающей за предпросмотр многокадровых GIF-файлов.

В случае, если такой документ удовлетворяет нескольким специфическим условиям, его чтение может вызвать нужную злоумышленникам двойную обработку одной ячейки. В результате хакеры смогут повысить свои привилегии и выполнить сторонний код в контексте приложения.

Как отметил обнаруживший эту уязвимость исследователь под ником Awakened, таким образом могут быть похищены данные из песочницы WhatsApp, в том числе база сообщений. Как можно увидеть в демонстрации уязвимости, злоумышленники получают доступ к устройству через несколько секунд после того, как вредоносный GIF-файл появляется в окне Галереи в WhatsApp.

Вредоносный документ может быть доставлен любым способом: его можно отправить через WhatsApp или другой мессенджер либо вложением к электронному письму. Если телефон злоумышленника находится в списке контактов жертвы, файлы из его WhatsApp-диалога автоматически сохраняются на устройстве. После этого взломщику нужно только, чтобы пользователь открыл Галерею в WhatsApp, что и приведет к запуску уязвимого процесса.

Разработчики устранили проблему в WhatsApp 2.19.244. Предыдущие версии мессенджера признаны небезопасными при условии, что они установлены на Android 8.1 и 9.0. Более ранние версии Android также позволяют воспроизвести этот баг, но без возможности повысить привилегии и исполнить сторонний код. В этом случае уязвимость может быть использована злоумышленниками для вызова критических сбоев приложения.

По теме: WhatsApp скоро перестанет работать на смартфонах с устаревшими ОС

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > В WhatsApp закрыли уязвимость с использованием вредоносных GIF-файлов
Все рубрики статей:
Топ-сегодня: Безопасность
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Россиянина, обвиняемого в создании сайта Carderplanet, судят в США
Для получения доступа к закрытому форуму нужно было предоставить рекомендации от трех зарегистрированных участников и заплатить вступительный взнос около $5000
Умные гаджеты Amazon помогали хакерам следить за пользователями
Эксперты обнаружили опасные уязвимости в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения
Как узнать емейл человека?
На этот раз мы обсудим проблему приватности и безопасности применительно к задаче поиска адреса электронной почты нужного нам человека
Школьникам раздали ноутбуки и тайно снимали их дома через веб-камеру
В США разгорелся скандал, связанный со школьными ноутбуками, тайно снимавшими школьников в их домах
Новые статьи: Безопасность
Умные гаджеты Amazon помогали хакерам следить за пользователями
Эксперты обнаружили опасные уязвимости в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения
Россиянина, обвиняемого в создании сайта Carderplanet, судят в США
Для получения доступа к закрытому форуму нужно было предоставить рекомендации от трех зарегистрированных участников и заплатить вступительный взнос около $5000
Исследователи научились шпионить за пользователями Android
Проблема содержится в системном интерфейсе, который взаимодействует с радиомодулем устройств
Данные пользователей воруют сотрудники с низкой зарплатой
У каждого россиянина имеются в среднем 15 идентификаторов — наборов данных, которые он оставляет государству или различным компаниям для подтверждения своей личности
Осеннее обострение: «Лаборатория Касперского» обвинила школьников в половине DDoS-атак
Учащиеся вернулись в школы и с большой долей вероятности могли организовать атаки из хулиганских побуждений

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».