В WhatsApp закрыли уязвимость с использованием вредоносных GIF-файлов
Новости Безопасность
Разработчики мессенджера WhatsApp закрыли уязвимость, которая могла приводить к выполнению стороннего кода, сообщает Threatpost. Баг CVE-2019-11932 позволяет злоумышленникам атаковать Android-устройства с помощью вредоносных GIF-файлов. Демонстрацию этой уязвимости можно увидеть на видео.
Проблема связана с ошибкой класса double-free, которая возникает при попытке дважды освободить ячейку памяти. В случае WhatsApp это происходит из-за некорректной работы одной из библиотек, отвечающей за предпросмотр многокадровых GIF-файлов.
В случае, если такой документ удовлетворяет нескольким специфическим условиям, его чтение может вызвать нужную злоумышленникам двойную обработку одной ячейки. В результате хакеры смогут повысить свои привилегии и выполнить сторонний код в контексте приложения.
Как отметил обнаруживший эту уязвимость исследователь под ником Awakened, таким образом могут быть похищены данные из песочницы WhatsApp, в том числе база сообщений. Как можно увидеть в демонстрации уязвимости, злоумышленники получают доступ к устройству через несколько секунд после того, как вредоносный GIF-файл появляется в окне Галереи в WhatsApp.
Вредоносный документ может быть доставлен любым способом: его можно отправить через WhatsApp или другой мессенджер либо вложением к электронному письму. Если телефон злоумышленника находится в списке контактов жертвы, файлы из его WhatsApp-диалога автоматически сохраняются на устройстве. После этого взломщику нужно только, чтобы пользователь открыл Галерею в WhatsApp, что и приведет к запуску уязвимого процесса.
Разработчики устранили проблему в WhatsApp 2.19.244. Предыдущие версии мессенджера признаны небезопасными при условии, что они установлены на Android 8.1 и 9.0. Более ранние версии Android также позволяют воспроизвести этот баг, но без возможности повысить привилегии и исполнить сторонний код. В этом случае уязвимость может быть использована злоумышленниками для вызова критических сбоев приложения.
Ссылки по теме:
Также по теме:
WhatsApp скоро перестанет работать на смартфонах с устаревшими ОС
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
Все рубрики статей (1206 / 201):
|
|
