Sākumlapa » Apdraudējumi » WhatsApp ievainojamība ļāva piekļūt lietotāja failiem

WhatsApp ievainojamība ļāva piekļūt lietotāja failiem

Facebook ir aizlāpījis kritisku WhatsApp ievainojamību, kas būtu ļāvusi potenciālajiem uzbrucējiem lasīt failus lietotāja sistēmā gan macOS, gan Windows platformās.

 

 

“WhatsApp Desktop ievainojamība apvienojumā ar WhatsApp for iPhone ļauj starpvietņu skriptēšanu un lokālo failu lasīšanu,” skaidro Facebook. “Lai izmantotu ievainojamību, upurim ir jānoklikšķina uz saites priekšskatījuma īpaši izveidotā ziņojumā.”

Šī problēma skar visas WhatsApp Desktop versijas pirms versijas v0.3.9309, kad tās ir izmantotas pārī ar WhatsApp for iPhone versijām pirms 2.20.10.

Ievainojamība CVE-2019-18426 ir novērtēta ar 8,2 punktiem pēc CVSS 3.x skalas, taču, lai arī to var izmantot attālināti, ir nepieciešama arī lietotāja mijiedarbība tās sekmīgai ekspluatēšanai.

Nepilnību atklāja PerimeterX pētnieks Gals Veizmans. Izmantojot to, viņš spēja iegūt lasīšanas atļauju vietējā failu sistēmā gan Windows, gan macOS sistēmās. Pētnieks saka, ka “teorētiskā koncepcija ir šāda: ja jūs lietojat vecu ievainojamu lietotnes versiju, kāds var izmantot šo ievainojamību un nodarīt jums sliktas lietas”.

Pirms Facebook izlaida labojumu, kļūda varēja ļaut uzbrucējiem ievietot ziņojumos ļaunprātīgu kodu un saites. Saskaņā ar PerimeterX, šīs ziņojumu modifikācijas būtu pilnīgi neredzamas netrenētai acij un šādi uzbrukumi būtu iespējami, vienkārši modificējot atsevišķa ziņojuma JavaScript kodu pirms piegādes adresātam.

 

Ievainojamības tehniskās detaļas atrodamas šeit.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 3 = 1

Uz augšu