WhatsApp에 취약점은 GIF 화상을 사용하여 장치에 대한 액세스를 허용

각성 익명와 보안 연구원 발견 공격자가 악의적 인 GIF 이미지를 사용하여 피해자의 파일과 메시지에 액세스 할 수있는 인기 WhatsApp에 메신저의 취약점.

응용 프로그램이 충돌하거나 발생할 수있는 메모리 손상의 이상 - 그 문제는 이중 사용 가능한 메모리 취약점입니다, 더 나쁜, 장치의 내용은 "허점"로 침입자를 제공.

모든 것은이 공격을 수행하기 위해 필요한 것은 악의적 인 GIF 파일을 만드는 것입니다, 피해자로 보내 그녀가 WhatsApp에 갤러리에서 엽니 때까지 기다립니다.

"공격자는 임의의 채널을 통해 사용자에게 GIF 파일을 전송. 그 중 하나 또는 WhatsApp를 통해 문서로 될 수있다 (즉. 종이 클립 버튼을 누르고 문서를 선택하면 손상된 GIF를 보낼 수). 공격자는 사용자의 연락처 목록에 있으면 (즉. 친구), 손상된 GIF는 사용자와의 상호 작용 "없이 자동으로 다운로드됩니다, - 각성의 글.

연구원은 설명했듯이, 취약점은 갤러리의 구현에 영향을 미치는, 이미지에 대한 미리보기를 생성하기위한 메커니즘, 즉, 비디오 및 GIF를.

당신은 WhatsApp에 갤러리를 열 때, 수정 된 GIF 파일은 rasterBits에 두 번 무료로 오류를 sizeof 크기 버퍼의 원인 (gifinfo). 재미있게, WhatsApp에 갤러리, GIF 파일을 두 번 구문 분석. 지정된 GIF 파일을 다시 구문 분석 할 때 (일부 프레임은 특별히 만든 GIF 파일의 크기가 조절 될 때), GifInfo 다른 개체는 만들어.

또한 읽기: 안드로이드 은행 서버러스는 탐지를 피하기 위해 만보계를 사용

때문에 안드로이드 이중 행동, GifInfo 정보 객체와 info->rasterBits는 동일한 주소를 가리 킵니다. 그런 다음 DDGifSlurp () info-으로 첫 번째 프레임을 디코딩> rasterBits 버퍼, 따라서 정보 및 rewindFunction 덮어 쓰기 () 기능, DDGifSlurp의 끝에서 바로 호출되는 () 기능.

작품은 안드로이드의 버전을 실행하는 장치에 주로 연구자에 의해 악용 발표 8.1 과 9.0 안드로이드에서 작동하지 않습니다 8.0 이전. 각성에 따르면, 오래된 장치에, 취약점도 악용 될 수, 하지만 응용 프로그램을 중단합니다.

잠 문제의 페이스 북에 통보하고 회사는 수정 발표.

"나는 페이스 북이 통보. 페이스 북은 인정 또는 WhatsApp 버전에서 공식적으로 패치 2.19.244. 페이스 북은 예약에 도움 CVE-2019-11932 이 문제 "에 대한, - 잠에서보고.

이 취약점의 악용으로 공격을 방지하기 위해, WhatsApp에 사용자가 강하게 버전으로 응용 프로그램을 업데이트하는 것이 좋습니다 2.19.244 이상.

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

돌아서지 마: 누군가 당신을 보고 있을지도 모릅니다

PC에서 타이핑을 들으면 일부 사람들이 해독할 수 있다는 말을 들어본 적이 있습니까? …

REvil은 자체 회원을 사기

지난 몇 달 동안 사이버 범죄 세계는 REvil의 리더십이, 하나 …

회신을 남겨주