whatsapp

Attraverso il servizio di avvisi di sicurezza di Whatsapp, si apprende di 6 bug che colpiscono varie versioni della famosa applicazione.

In particolare queste criticità consentirebbero ad un eventuale attaccante di eseguire codice arbitrario da remoto. Di seguito gli indicatori di compromissione e le relative versioni dell’app interessate.

CVE-2020-1894

A stack write overflow:

Avrebbe potuto consentire l’esecuzione di codice arbitrario durante la riproduzione di un messaggio push to talk.

Versioni di WhatsApp interessate:

WhatsApp per Android prima della v2.20.35, WhatsApp Business per Android prima della v2.20.20, WhatsApp per iPhone prima della v2.20.30 e WhatsApp Business per iPhone prima della v2.20.30.

CVE-2020-1891

Un parametro controllato dall’utente utilizzato nelle videochiamate:

avrebbe potuto consentire una scrittura oltre il limite su dispositivi a 32 bit.

Versioni di WhatsApp interessate:

WhatsApp per Android prima della v2.20.17, WhatsApp Business per Android prima della v2.20.7, WhatsApp per iPhone prima della v2.20.20 e WhatsApp Business per iPhone prima della v2.20.20.

CVE-2020-1890

Un problema di convalida dell’URL:

avrebbe potuto consentire l’esecuzione di dati non validi, attraverso un messaggio adesivo che carica le immagini da un URL controllato dall’attaccante.

Versioni di WhatsApp interessate:

WhatsApp per Android prima della v2.20.11 e WhatsApp Business per Android prima della v2.20.2.

CVE-2020-1889

Un problema di bypass della funzionalità di sicurezza:

se combinata con una vulnerabilità di esecuzione di codice in modalità remota all’interno del processo di rendering sandbox, ne avrebbe potuto consentire il bypass in Electron e l’escalation dei privilegi .

Versioni di WhatsApp interessate:

WhatsApp Desktop precedenti alla v0.3.4932.

CVE-2020-1886

Buffer overflow:

avrebbe potuto consentire una scrittura fuori limite tramite un flusso video appositamente predisposto, dopo aver ricevuto e risposto a una videochiamata dannosa.

Versioni di WhatsApp interessate:

WhatsApp per Android prima della v2.20.11 e WhatsApp Business per Android prima della v2.20.2.

CVE-2019-11928

Un problema di convalida dell’input:

avrebbe potuto consentire un cross-site scripting, facendo clic su un collegamento ricevuto mediante un messaggio di posizione live appositamente predisposto.

Versioni di WhatsApp interessate:

WhatsApp Desktop precedenti alla v0.3.4932.

Inoltre la società assicura che “se viene identificato un bug, lavoriamo per risolverlo il più rapidamente possibile. In linea con le migliori pratiche del settore, non divulgheremo problemi di sicurezza fino a quando non avremo esaminato a fondo eventuali reclami, emesso le correzioni necessarie e reso gli aggiornamenti ampiamente disponibili attraverso i rispettivi app store. Usiamo lo stesso approccio per tutti i prodotti WhatsApp. Se mai risolviamo un problema in uno dei nostri prodotti, lavoriamo anche per garantire che venga risolto in tutti gli altri prodotti che potrebbero fare affidamento sullo stesso codice“.

In ogni caso, se hai una della versioni dell’app interessata dalle sopraelencate criticità, il consiglio è di procedere velocemente all’update.

FONTE: WhatsApp.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi