جزئیات ۶ باگ امنیتی شناسایی شده در پیام رسان WhatsApp

کمیته رکن چهارم – اخیرا WhatsApp با انتشار بیانیه ایی خبر از ۶ باگ امنیتی مهم را داد و تمامی این آسیب پذیری ها با جزئیات مهم آن  را در وب سایت اختصاصی خود برای کاربران و متخصصان امنیتی منتشر کرد. نقص های شناسایی شده به هکرها امکان اجرای کد از راه دور یا به اصطلاح RCE را می داد.

۶ Security WhatsApp Bugs

  1. CVE-2020-1894 – A stack write overflow Bug in WhatsApp Business for Android
  2. CVE-2020-1891 -A user controlled parameter used in video call in WhatsApp for Android
  3. CVE-2020-1890 – A URL validation issue in WhatsApp for Android
  4. CVE-2020-1889 – security feature bypass issue in WhatsApp Desktop versions
  5. CVE-2020-1886 – A buffer overflow in WhatsApp for Android
  6. CVE-2019-11928 -An input validation issue in WhatsApp Desktop versions

CVE-2020-1894

stack write overflow که به هکرها امکان اجرای کد دلخواه هنگام پخش یک پیام صوتی برای گفتگو را می دهد.

سرریز بافر پشته وقتی اتفاق می‌افتد که یک برنامه، اطلاعاتی را در آدرسی خارج از ساختمان داده مورد نظرش (معمولاً بافری با اندازه ثابت) که در پشته فراخوانی برنامه قرار دارد، می‌نویسد. ظرفیت بافرهای با اندازه ثابت، از قبل و در زمان کامپایل تعیین شده‌است و در صورتی که اطلاعات بیشتری در آن‌ها نوشته شود، سرریز خواهند شد و این‌گونه باگ‌ها را به وجود خواهند آورد.

تاثیر گذاری این آسیب پذیری بر روی :

  • واتساپ های آندرویدی ورژن v2.20.35 و قبل از آن
  • واتساپ های تجازی آندرویدی ورژن v2.20.20 و قبل از آن
  • واتساپ های آیفون ورژن v2.20.30 و قبل از آن
  • واتساپ های تجاری آیفون ورژن v2.20.30 و قبل از آن

CVE-2020-1891

یک پارامتر کنترل شده توسط کاربر که در یک تماس ویدئویی در WhatsApp استفاده می شود و امکان رایت out-of-bounds در دستگاه های ۳۲ بیتی را دارد.

تاثیر گذاری این آسیب پذیری بر روی :

  • واتساپ های آندرویدی ورژن v2.20.17 و قبل از آن
  • واتساپ های تجازی آندرویدی ورژن v2.20.7 و قبل از آن
  • واتساپ های آیفون ورژن v2.20.20 و قبل از آن
  • واتساپ های تجاری آیفون ورژن v2.20.20 و قبل از آن

CVE-2020-1890

یک فرآیند تایید URL در واتساپ هست که امکان اجرای داده های مخرب در یک پیام استیکری را برای مهاجم فراهم می کند. این فرآیند می تواند تصاویر را از یک URL کنترل شده توسط هکر لود کند.

CVE-2020-1889

یک باگ امنیتی در نسخه های دسکتاپ WhatsApp ورژن های قبل از v0.3.4932 است که اگر با آسیب پذیری اجرای کد از راه دور یا RCE با فرآیند ارائه دهنده sandbox همراه شود ، می تواند امکان فرار sandbox در Electron و افزایش سطح دسترسی را فراهم کند.

CVE-2020-1886

در این آسیب پذیری، سرریز بافر در WhatsApp آندرویدی ورژن های قبل از v2.20.11 و WhatsApp Business آندرویدی ورژن های قبل از v2.20.2 صورت می گیرد و می تواند پس از دریافت و پاسخ یک تماس ویدیویی مخرب از طریق یک مکالمه ویدئویی، امکان رایت out-of-bounds را برای هکر ایجاد کند.

CVE-2019-11928

این آسیب پذیری در اعتبار سنجی ورودی نسخه های دسکتاپ WhatsApp ورژن های قبل از v0.3.4932 است که هکر با بهره برداری از آن می تواندحمله cross-site scripting را انجام دهد.

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.