کشف جالب یک نقص امنیتی در واتسآپ!
تاریخ انتشار: ۲۵ مهر ۱۳۹۸ | کد خبر: ۲۵۴۹۵۷۲۲
به گزارش گروه وبگردی باشگاه خبرنگاران جوان، این حفره امنیتی که توسط یک محقق با نام مستعار «Awakened» کشف شد، به عنوان یک اشکال double-free توصیف و به آن شناسه CVE CVE-۲۰۱۹-۱۱۹۳۲ اختصاص داده شده است.
این نقص، در نسخه ۲.۱۹.۲۳۰ واتساپ در دستگاههای دارای اندروید ۸.۱ و ۹.۰ اجازه اجرای کد از راه دور را میدهد و در نسخههای قبلی فقط میتواند برای حملات انکار سرویس (DoS) استفاده شود.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
آسیبپذیری شناساییشده، در یک کتابخانه منبعباز به نام «libpl_droidsonroids_gif.so» وجود دارد که توسط واتساپ برای تولید پیشنمایش پروندههای GIF استفاده میشود.
بهرهبرداری از این نقص، شامل ارسال یک GIF مخرب است که میتواند در هنگام بازکردن گالری واتساپ توسط کاربر (بهعنوان مثال، زمانی که کاربر میخواهد برای یکی از مخاطبین خود تصویری ارسال کند) بهطور خودکار باعث آسیبپذیری شود.
بهگفته این محقق، مهاجم نمیتواند تنها با ارسال یک GIF ویژه، از این نقص بهرهبرداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیبپذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند. زیرا یک اشکال double-free نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار میتواند منجر به خرابی یک برنامه یا ایجاد یک آسیبپذیری شود.
در این حالت، هنگامی که یک کاربر واتساپ، نمایه گالری را برای ارسال پرونده رسانه باز میکند، واتساپ آنرا با استفاده از یک کتابخانه منبعباز برای تولید پیشنمایش GIF که شامل چندین فریم رمزگذاریشده است، تجزیه میکند.
این نقص به نرمافزار مخرب اجازه میدهد تا پروندههای موجود در سندباکس واتساپ از جمله پایگاهداده پیام را سرقت کند.
Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همزمان وصله رسمی برای برنامه را در نسخه واتساپ ۲.۱۹.۲۴۴ منتشر کرد.
مرکز ماهر به کاربران توصیه کرده که واتساپ خود را به این نسخه بهروز کنند تا از این اشکال در امان بمانند.
منبع: برنا
انتهای پیام/
منبع: باشگاه خبرنگاران
کلیدواژه: شبکه های اجتماعی واتس آپ
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.yjc.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «باشگاه خبرنگاران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۵۴۹۵۷۲۲ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
به روز رسانی جدید واتساپ کاربران را عصبانی میکند
ایتنا - اگرچه ممکن است این بهروزرسانی یک تغییر ساده به نظر برسد، اما بر اساس آنچه این روزنامه بریتانیایی منتشر کرده، بسیاری از کاربران از آن ناراضی هستند.
در حالی که اپلیکیشن واتساپ قصد دارد بسیاری از ویژگیهای جدید طراحی شده برای بهبود تجربه و تعامل کاربر را معرفی کند و پیشبینی میشود که به زودی راهاندازی شوند، یک روزنامه انگلیسی، بهروزرسانی جدیدی را فاش کرد که بسیاری از کاربران را ناراضی کرده است.
به گزارش ایتنا، روزنامه انگلیسی «دیلی میل» نوشت واتساپ آپدیت جدیدی منتشر کرده است که باعث میشود فردی که به اینترنت متصل است با حرف بزرگ «O» (متصل) ظاهر شود و هنگام تایپ فقط حرف «T» را نشان دهد. در حالی که برنامه قبلاً عبارت "Typing" یا "Online" را نشان می داد.
اگرچه ممکن است این بهروزرسانی یک تغییر ساده به نظر برسد، اما بر اساس آنچه این روزنامه بریتانیایی منتشر کرده، بسیاری از کاربران از آن ناراضی هستند.
این بهروزرسانی که باعث عصبانیت کاربران برنامه شد، بدون هیچ گزینهای در تنظیمات واتساپ برای بازگشت به نسخه قبلی، نصب میشود.
اگرچه واتساپ به طور رسمی این موضوع را اعلام نکرد، اما در شبکههای اجتماعی مورد توجه زیادی قرار گرفت.
این روزنامه به نقل از یکی از کاربران پلتفرم ایکس (توییتر سابق) نوشت: «هر کس دیگری به طور غیرمنطقی از آخرین بهروزرسانی سیستم عامل iOS واتساپ آزار میدهد، جایی که اگر شخصی آنلاین باشد، با حرف بزرگ «O» (Online) و وقتی تایپ می کند با حرف بزرگ "T" (Typing) ظاهر میشود.