GIF-ekkel volt támadható a WhatsApp
Napvilágra kerültek annak a WhatsApp sérülékenységnek a részletei, amely GIF-képállományok révén veszélyeztette a készülékeket.A Facebook nemrégen egy biztonsági frissítést adott ki az Android kompatibilis WhatsApp alkalmazásához. Tette mindezt azért, mert egy olyan sérülékenység jutott a tudomására, ami komolyabb kockázatot jelentett az érintett készülékekre, illetve az azokon tárolt adatokra nézve.
A sérülékenységet egy Awakened néven tevékenykedő biztonsági kutató fedezte fel, és jelezte azt a Facebook fejlesztői számára. A hiba technikai részletei azonban csak a hibajavítást követően kerülhettek nyilvánosságra. A megjelent információk szerint a sebezhetőség speciálisan összeállított, GIF-formátumú állományokkal válhat kihasználhatóvá a széles körben alkalmazott üzenetküldő alkalmazáson keresztül. Alapvetően nem is a WhatsApp kódjával van probléma, hanem az azzal együtt települő, nyílt forráskódú libpl_droidsonroids_gif.so szoftverkönyvtárral. Ez ugyanis problémás GIF-fájlok esetén olyan memóriakezelési hibát produkál, ami biztonsági kockázatokat vet fel.
A kockázatok nagysága az Android verziójától is függ. Android 8.1 és 9.0 esetén közvetve jogosulatlan távoli kódfuttatást is lehetővé tehet, míg az Android korábbi kiadásainak esetében leginkább az alkalmazás vagy a készülék összeomlását idézheti elő, azaz szolgáltatásmegtagadási támadásokat segíthet elő. Mindezt abban az esetben, ha a támadó által küldött GIF-formátumú állományt a felhasználó a WhatsApp képgalériájában (Gallery) megnyitja. Emellett a támadónak azt is el kell érnie, hogy előzőleg valamilyen úton módon bekerüljön a felhasználó WhatsApp ismerősei közé. Ha ez sikerül számára, akkor hozzáférést szerezhet a készüléken tárolt különféle állományokhoz, és nem utolsó sorban a WhatsApp helyi adatbázisához is. Rosszabb esetben pedig távoli parancssoros felületet indíthat, amin keresztül további jogosulatlan műveleteket hajthat végre.
Biztonsági szakértők szerint a WhatsApp sérülékenysége akkor tud igazán komoly veszélyt jelenteni, ha a támadónak további biztonsági hibákat is sikerül feltárnia, illetve kihasználnia a célkeresztbe állított mobilokon.
A Facebook a szóban forgó sebezhetőséget a WhatsApp for Android alkalmazás 2.19.244-es verziójának kiadásával szüntette meg.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.