研究人员详细说明现已修补的 WhatsApp 漏洞
在与 Check Point 合作的安全研究人员最近发表的一篇文章中,一个团队披露了一个现已过时的 WhatsApp 版本中的一个旧漏洞,该漏洞可能导致 WhatsApp 用户的个人信息潜在暴露。
有问题的错误涉及一个相当长且复杂的事件链,需要在用户的任何数据变得可利用之前发生,但它仍然被评为 7.8,在 CVE 或常见漏洞下被认为是“高”,并且利用系统。
为了让不法分子滥用相关漏洞,他们需要发送经过专门篡改、恶意构建的图像文件。然后,受害者需要通过 WhatsApp 图像处理过滤器之一运行接收到的附件文件。一旦他们尝试将生成的文件发回,应用程序可能会崩溃并导致数据泄露。
Check Point 报告中详细解释了该漏洞,但本质上归结为 WhatsApp 没有检查源图像和目标图像。在使用恶意篡改的源图像的情况下,这可能会导致读写问题越界。
WhatsApp 拥有最大的消息传递应用程序用户群,每月约有 20 亿活跃用户。即使考虑到利用漏洞触发和暴露用户数据需要满足的复杂且相对较长的事件和条件链,类似的漏洞始终是一个问题
Check Point 在 2020 年末将该问题通知 WhatsApp 后,该漏洞已被修补,并已从版本 2.21.1.13 开始从应用程序中消除。
类似的报告还有助于提高人们对在新补丁发布后尽快更新您拥有的每台设备上的每个应用程序的重要性的认识。
September 3, 2021
