Facebook исправила уязвимость в WhatsApp, предоставлявшую возможность удалённо взломать гаджет и похитить хранящуюся на нём информацию.
Проблема CVE-2019-11931 – уязвимость переполнения буфера, связанная с реализованным в предыдущих версиях WhatsApp механизмом парсинга потока метаданных MP4 файла, что приводило к возможности вызова сбоя в работе или удалённого выполнения кода.
Для использования этой лазейки злоумышленнику нужно выяснить номер телефона жертвы и отправить ей по WhatsApp специально сформированнный MP4-файл, который может быть использован для незаметной установки бэкдора или шпионского ПО на гаджет.
Уязвимость затрагивает все версии WhatsApp для всех основных платформ. Согласно предупреждению Facebook, уязвимость содержится в следующих версиях:
- Android-версии до 2.19.274;
- iOS-версии младше 2.19.100;
- Версии Enterprise Client до 2.25.3;
- Версии для Windows Phone младше и включая 2.18.368;
- Версии Business for Android до 2.19.104;
- Версии Business for iOS до 2.19.100.
В WhatsApp сообщили, что случаи использования «свежеисправленной» уязвимости в целевых атаках не зафиксированы.