هشدار؛ واتساپ خود را بهروز کنید
تاریخ انتشار: ۲۴ مهر ۱۳۹۸ | کد خبر: ۲۵۴۸۸۹۹۷
ساعت 24- نقصی در سیستمعامل پیامرسان واتساپ در دستگاههای اندرویدی شناسایی شده که میتواند با بازکردن گالری واتساپ توسط کاربر، بهطور خودکار باعث آسیبپذیری شود و برای جلوگیری از این آسیب، لازم است کاربران واتساپ خود را به آخرین نسخه بهروز کنند.
یک محقق امنیتی، نقصی را در سیستمعامل پیامرسان محبوب واتساپ در دستگاههای اندرویدی شناسایی کرده است که میتواند به مهاجمان، امکان ارتقاء امتیاز و اجرای کد از راه دور (RCE) دهد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
این نقص، در نسخهی 2.19.230 واتساپ در دستگاههای دارای اندروید 8.1 و 9.0 اجازهی اجرای کد از راه دور را میدهد و در نسخههای قبلی فقط میتواند برای حملات انکار سرویس (DoS) استفاده شود. آسیبپذیری شناساییشده، در یک کتابخانهی منبعباز به نام «libpl_droidsonroids_gif.so» وجود دارد که توسط واتساپ برای تولید پیشنمایش پروندههای GIF استفاده میشود.
بنا بر اعلام مرکز ماهر(مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای) بهرهبرداری از این نقص، شامل ارسال یک پروندهی GIF مخرب است که میتواند هنگام بازکردن گالری واتساپ توسط کاربر (بهعنوان مثال، زمانی که کاربر میخواهد برای یکی از مخاطبین خود تصویری ارسال کند) بهطور خودکار باعث آسیبپذیری شود.
بهگفتهی این محقق، مهاجم نمیتواند تنها با ارسال یک GIF ویژه، از این نقص بهرهبرداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیبپذیری دیگری که در تلفن کاربر وجود دارد، سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند، زیرا یک اشکال « double-free » نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار میتواند منجر به خرابی یک برنامه یا ایجاد یک آسیبپذیری شود.
در این حالت، هنگامی که یک کاربر واتساپ، نمایهی گالری را برای ارسال پروندهی رسانه باز میکند، واتساپ آنرا با استفاده از یک کتابخانهی منبعباز بومی به نام «libpl_droidsonroids_gif.so » برای تولید پیشنمایش پروندهی GIF که شامل چندین فریم رمزگذاریشده است، تجزیه میکند.
برای ذخیرهسازی فریمهای رمزگشاییشده، از بافری با نام "rasterBits" استفاده میشود. اگر همهی فریمها دارای اندازهی یکسان باشند، مجدداً از "rasterBits" برای ذخیرهی قابهای رمزگشاییشده، بدون تخصیص مجدد استفاده میشود که همین امر میتواند به مهاجم اجازهی سوءاستفاده از آسیبپذیری دهد.
پس از بهرهبرداری، دو بردار حمله وجود دارد که مهاجمان میتوانند از آن استفاده کنند. اولین مورد، افزایش امتیاز محلی است که در آن، یک برنامهی مخرب روی دستگاه نصب میشود که آدرس کتابخانههای "zygote" (فرایند قالب برای هر برنامه و سرویس آغازشده در دستگاه) را جمعآوری میکند و یک فایل GIF مخرب تولید میکند که منجر به اجرای کد در متن واتساپ میشود. این کار به نرمافزار مخرب اجازه میدهد تا پروندههای موجود در سندباکس واتساپ از جمله پایگاهدادهی پیام را سرقت کند.
بردار حملهی دوم، RCE است که در آن، یک مهاجم با برنامهای که دارای آسیبپذیری افشای اطلاعات حافظهی از راه دور است، برای جمعآوری آدرسهای کتابخانههای "zygote" و تهیهی یک فایل GIF مخرب جفت میشود. به محض اینکه کاربر نمای گالری را در واتساپ باز میکند، پروندهی GIF یک پوسته در زمینهی واتساپ ایجاد میکند.
محقق Awakend، فیسبوک را از این اشکال مطلع و این شرکت، همان زمان وصلهی رسمی برای برنامه را در نسخهی واتساپ 2.19.244 منتشر کرد. بنابراین به کاربران توصیه میشود که واتساپ خود را به این نسخه بهروز کنند تا از این اشکال در امان بمانند.
ایسنا
منبع: ساعت24
کلیدواژه: واتس آپ
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.saat24.news دریافت کردهاست، لذا منبع این خبر، وبسایت «ساعت24» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۵۴۸۸۹۹۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
اختراع ماده عجیبی که با ضربه زدن، سختتر میشود
محققان دانشگاه کالیفرنیا از اختراع یک ماده نرم و انعطافپذیر با «دوام تطبیقی» خبر دادهاند؛ این ماده خاصیت ویژهای دارد و در هنگام ضربه یا کشش محکمتر و سختتر میشود. این ماده همچنین رسانای الکتریسیته است و در ساخت گجتهای پوشیدنی یا حسگرهای پزشکی میتواند کاربرد داشته باشد.
به گزارش دیجیاتو، براساس ارائه محققان در نشست بهار ۲۰۲۴ انجمن شیمی آمریکا، ایده ساخت این پلیمر جدید درواقع از خاصیت ترکیب نشاسته ذرت و آب الهام گرفته شده است. وقتی نشاسته ذرت و آب را به آرامی هم میزنید، قاشق به راحتی در آن حرکت میکند. اما اگر قاشق را بیرون بیاورید و سپس مخلوط را بکوبید، قاشق به سختی وارد محلول میشود و مثل ضربهزدن به یک سطح سخت میماند. درواقع این دوغاب دوام تطبیقی دارد و بسته به نیروی وارده از حالت شکلپذیری به حالت جامد و محکم تغییر میکند. محققان درواقع از همین خاصیت برای ساخت یک ماده رسانای جامد استفاده کردهاند.
ساخت مادهای که در اثر ضربه، مقاومت بیشتری پیدا میکند
برای ساخت چنین مادهای محققان از چند پلمیر با خواص مختلف استفاده کردند. این پلیمرها علاوهبر شکلپذیری و دوام تطبیقی باید رسانای جریان الکتریسیته نیز باشند. آنها مولکولهای بلند پلی (۲-اکریلآمیدو-۲-متیلپروپان سولفونیک اسید)، مولکولهای کوتاه پلیآنیلین و یک ترکیب رسانای بسیار پربازده (PEDOT:PSS) را با هم مخلوط کردند.
ماده بهدستآمده، علاوهبر آنکه در اثر ضربه شکلپذیری خود را تغییر میدهد، رسانای الکتریسیته است. بهگفته محققان، انتخاب پلیمرهایی با بار مثبت و منفی، مادهای با ساختارهای فوقالعاده کوچک ایجاد میکند. این ساختارها شوک ناشی از ضربه را جذب میکنند، بدون اینکه کاملاً از هم جدا شوند؛ همچنین حالت مواد و رسانایی آن را نیز حفظ میکنند.
اگر بتوان این ماده را در مقیاس بیشتر تولید کرد، میتوان انتظار داشت در صنایع مختلف کاربردهای زیادی داشته باشد. برای مثال در ساخت ساعت و گجتهای هوشمند و حسگرها میتوان از آن استفاده کرد.