WhatsApp-ის კრიტიკული სისუსტე მსოფლიოს მაშტაბით გავრცელდა

GE
მსხვერპლზე შესატევად საჭირო მხოლოდ .GIF სურათის გაკეთება და გაგზავნა იყო

სისუსტე რომლის სამიზნეც და მსხვერპლიც პოტერნციურად ყველა WhatsApp-ის მომხმარებელია, GIF-სურათის გაგზავნით იყო შესაძლებელი

WhatsApp-მა უკვე განაახლა კრიტიკული სისუსტე, რომლის მეშვეობითაც ბოროტმოქმედი იღებს წვდომას მსხვერპლის მოწყობილობაზე შეტყობინებებსა და ფაილებთან მავნე GIF გამოსახულებით

პრობლემა წარმოადგენს მეხსიერების ორმაგი გათავისუფლების სისუსტეს (double-free) – მეხსიერების დაზიანების ანომალიაა, ამ მომენტში შესაძლებელია როგორც აპლიკაციის ავარიულ რეჟიმში გამორთვა(საიდანაც შემდგომში რეპორტი იგზავნება), ასევე მსხვერპლის მოწყობილობაზე კავშირის/კონტროლის აღება.

უსაფრთხოების მკვლევარი და სისუსტის აღმომჩენი ნიკით : Awakened-ის ჩვენებით ექსპლოიტი ერგებოდა ანდროიდის 8.1 და 9.0 ვერსიებს

Facebook-მა უკვე განაახლა აპლიკაცია და რეკომენდირებულია WhatsApp-ის განახლება 2.19.244 ან უფრო ახალ ვერსიამდე, რომელიც რეალიზებულია სექტემბერში

-----

EN
A picture is worth a thousand words, but a GIF is worth a thousand pictures.

WhatsApp has recently patched a critical security vulnerability in its app for Android, which remained unpatched for at least 3 months after being discovered, and if exploited, could have allowed remote hackers to compromise Android devices and potentially steal files and chat messages, The vulnerability, tracked as CVE-2019-11932

The issue affects WhatsApp versions 2.19.230 and older versions running on Android 8.1 and 9.0, but does not work for Android 8.0 and below

Nhat told The Hacker News that he reported the vulnerability to Facebook, who owns WhatsApp, in late July this year, and the company included a security patch in WhatsApp version 2.19.244, released in September

-----

RU
Все что нужно для атаки – создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в WhatsApp.

Исследователь безопасности под псевдонимом Awakened обнаружил в популярном мессенджере WhatsApp уязвимость, позволяющую злоумышленникам получать доступ к файлам и сообщениям жертвы с помощью вредоносного GIF-изображения.

Проблема представляет собой уязвимость двойного высвобождения памяти (double-free) – аномалии повреждения памяти, способной вызвать аварийное завершение работы приложение или, еще хуже, предоставить злоумышленнику «лазейку» к содержимому устройства. Все что нужно для осуществления атаки – создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в галерее WhatsApp.

Представленный исследователем эксплоит работает преимущественно на устройствах под управлением версий Android 8.1 и 9.0 и не работает на Android 8.0 и более ранних. По словам Awakened, на более старых устройствах уязвимость также можно проэксплуатировать, но только для аварийного завершения работы приложения.

Awakened уведомил Facebook о проблеме, и компания выпустила исправление. Во избежание атак с эксплуатацией данной уязвимости пользователям WhatsApp настоятельно рекомендуется обновить свои приложения до версии 2.19.244 или более поздней