Facebook и WhatsApp опубликовали подробности о шести ранее неизвестных уязвимостях разной степени опасности. Все уже исправлены.
Шесть уязвимостей WhatsApp
В приложениях WhatsApp содержались шесть уязвимостей, часть из которых могла использоваться для удаленных атак. Об этом сообщил сам разработчик на специально созданном сайте, где публикуется информация о проблемах с безопасностью WhatsApp.
Наиболее существенными оказались CVE-2020-1894, проблема с переполнением стека, которая могла использоваться для запуска произвольного кода. Для этого злоумышленникам потребовалось бы создать специальное голосовое сообщение для проигрывания на стороне жертвы.
Уязвимость затрагивает WhatsApp под Android до версии 2.20.35, WhatsApp Business под Android до версии 2.20.20, WhatsApp для iPhone до версии 2.20.30 и WhatsApp Business для iPhone до 2.20.30.
Вторая уязвимость, CVE-20-20-1891 вызвана возможностью записи данных за пределами выделенной области памяти на 32-битных устройствах. Уязвимость затрагивает WhatsApp для Android до версии 2.20.17, WhatsApp Business для Android до версии 2.20.7, WhatsApp для iPhone до версии 2.20.20 и WhatsApp Business для iPhone до версии 2.20.20.
WhatsApp раскрыл шесть уязвимостей
Третья уязвимость, CVE-2020-1890 вызвана некорректной проверкой URL. Ошибка позволяет загружать изображение с удаленного сервера без участия пользователя: для этого потенциальной жертве надо отправить сообщение-стикер, содержащее «преднамеренно искаженную информацию». Загружаемое изображение, в свою очередь, может содержать вредоносный код.
Проблема затрагивает версии WhatsApp под Android версии 2.20.11 и WhatsApp Business под Android до версии 2.20.2.
Уязвимы были не только мобильные версии
Баг CVE-2020-1889 — это уязвимость в десктоп-версии WhatsApp до индекса 0.3.4932, которая позволяет выходить за пределы защищенной среды фреймворка Electron. Скомбинировав эту уязвимость с другой, позволяющей запускать произвольный код внутри рендерера защищенной среды, злоумышленник может добиться повышения своих привилегий в системе.
В тех же версиях десктоп-варианта WhatsApp выявлена еще одна ошибка, связанная на этот раз с проверкой вводимых данных — CVE-2019-11928. Эта уязвимость допускает межсайтовый скриптинг, для чего жертву надо заставить нажать на ссылку в специально созданном сообщении с геолокационной информацией (live location message).
CVE-2020-1886 — это уязвимость переполнения буфера в WhatsApp под Android в версиях до 2.20.11 и WhatsApp Business под Android в версиях до 2.20.2. Используя специально подготовленный видеопоток, злоумышленник может добиться записи за пределами выделенной области памяти на стороне жертвы после того, как та ответит на входящий видеозвонок.
Часть уязвимостей была раскрыта в рамках программы bugbounty, запущенной Facebook. Пять из них были исправлены сразу после получения информации, шестая — спустя непродолжительное время.
«Половина выявленных уязвимостей требуют соблюдения ряда условий и приложения разного объема усилий для совершения успешных атак, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Но есть и такие, которые можно использовать для атак с минимальными усилиями; они несут наибольшую угрозу. Впрочем, публикация сведений о них — это в основном пиар-ход, предназначенный продемонстрировать серьезное отношение WhatsApp и Facebook к вопросам безопасности своих разработок».