نقص امنیتی در واتس اپ کشف شد

به گزارش خبرنگاران به نقل از مرکز ماهر، این حفره امنیتی که توسط یک محقق با نام مستعار Awakened کشف شد، به عنوان یک اشکال double-free توصیف و به آن شناسه CVE CVE-2019-11932 اختصاص داده شده است.

نقص امنیتی در واتس اپ کشف شد

این نقص، در نسخه 2.19.230 واتس اپ در دستگاه های دارای اندروید 8.1 و 9.0 اجازه اجرای کد از راه دور را می دهد و در نسخه های قبلی فقط می تواند برای حملات انکار سرویس (DoS) استفاده گردد.

آسیب پذیری شناسایی شده، در یک کتابخانه منبع باز به نام libpl-droidsonroids-gif.so وجود دارد که توسط واتس اپ برای فراوری پیش نمایش پرونده های GIF استفاده می گردد.

بهره برداری از این نقص، شامل ارسال یک GIF مخرب است که می تواند در هنگام بازکردن گالری واتس اپ توسط کاربر (به عنوان مثال، زمانی که کاربر می خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به طور اتوماتیک باعث آسیب پذیری گردد.

به گفته این محقق، مهاجم نمی تواند تنها با ارسال یک GIF ویژه، از این نقص بهره برداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیب پذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند. زیرا یک اشکال double-free احتیاج دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب پذیری گردد.

در این حالت، هنگامی که یک کاربر واتس اپ، نمایه گالری را برای ارسال پرونده رسانه باز می نماید، واتس اپ آن را با استفاده از یک کتابخانه منبع باز برای فراوری پیش نمایش GIF که شامل چندین فریم رمزگذاری شده است، تجزیه می نماید.

این نقص به نرم افزار مخرب اجازه می دهد تا پرونده های موجود در سندباکس واتس اپ از جمله پایگاه داده پیغام را سرقت کند.

Awakend، فیس بوک را از این اشکال آگاه کرد و این شرکت، همزمان وصله رسمی برای برنامه را در نسخه واتس اپ 2.19.244 منتشر کرد.

مرکز ماهر به کاربران توصیه نموده که واتس اپ خود را به این نسخه به روز نمایند تا از این اشکال در امان بمانند.

منبع: خبرگزاری مهر
انتشار: بروزرسانی: 7 آذر 1398 شناسه مطلب: 360

به "نقص امنیتی در واتس اپ کشف شد" امتیاز دهید

امتیاز دهید:

دیدگاه های مرتبط با "نقص امنیتی در واتس اپ کشف شد"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید