Túlságosan engedékeny a WhatsApp

​A Windows-os WhatsApp alkalmazás egyes fájltípusokat nem kezel elég szigorúan, ezért biztonsági kockázatok merültek fel.
 

A WhatsApp számos platformon elérhető kiadásai közül ezúttal a Windows-os verziót vette górcső alá Saumyajeet Das biztonsági kutató. A szakember a vizsgálatai során azt figyelte meg, hogy a kliensalkalmazás számos széles körben használható állomány esetében korlátozásokat alkalmaz, de a potenciálisan veszélyes fájltípusok listája hiányosnak bizonyult.
 
A WhatsApp Windows alatt egyes fájlok esetében nem teszi lehetővé közvetlenül azok megnyitását, és csak fájlmentést ajánl fel. Teszi ezt például a következő kiterjesztéssel rendelkező állományok esetében: .EXE, .COM, .SCR, .BAT, .DLL, .HTA és VBS. A Perl fájlokat szintén csak menteni engedi. Ez biztonsági szempontból azért jó, mert e potenciálisan kockázatosnak minősített fájlok közvetlen megnyitására és elindítására nincs mód akár egy véletlen kattintás folytán. 
 
Das azonban azt tapasztalta, hogy az alkalmazás a Python (.PYZ (Python ZIP app), .PYZW ) állományok esetében engedi a közvetlen futtatást. Amennyiben egy felhasználó egy ilyen csatolmányt kap, és azt egyszerűen megnyitja, akkor az biztonsági kockázatokat vet fel. Igaz e kockázatokat némileg csökkenti, hogy a Python fájlok csak akkor futnak le, ha az adott számítógépre előzőleg a Python fel lett telepítve.
 
Das a felfedezését június elején már jelezte a Meta illetékesei számára a hibavadász programon keresztül, de azt a választ kapta, hogy a problémáról korábban mások már beszámoltak. Ugyanakkor a Windows-os WhatsApp legfrissebb kiadása látszólag még nem hozott a fentiek kapcsán szigorítást. Ráadásul időközben az is kiderült, hogy a szoftver a PHP és az EVTX állományokkal is ugyanolyan megengedően bánik, mint a Python fájlokkal.
 
  1. 4

    A Junos OS három hibajavítással bővült.

  2. 3

    Öt biztonsági hibajavítás kiadásával indította az évet a Palo Alto Networks.

  3. 4

    A SonicWall biztonsági javításokat adott ki a SonicOS-hez.

  4. 3

    A SeaMonkey fejlesztői két biztonság hibát javítottak.

  5. 4

    A Google három tucat biztonsági hibáról számolt be az Android kapcsán.

  6. 3

    A Google Chromecast egy biztonsági hibát tartalmaz.

  7. 3

    A wolfSSL esetében egy biztonsági rendellenességre derült fény.

  8. 3

    A Red Hat OpenShift Container Platformhoz két hibajavítás érkezett.

  9. 3

    A PAN-OS-hez egy újabb hibajavítás érkezett.

  10. 4

    Az Adobe egy soron kívüli hibajavítást adott ki a Adobe ColdFusion alkalmazáshoz.

Partnerhírek
​Ki vigyáz az adataidra, ha te nem?

Találkoztál már az online térben adathalászokkal? Estél már áldozatául vírusoknak, hackereknek? Ismered az online veszélyeket és védekezel is ellenük?

Új funkciókat kaptak az ESET otthoni védelmi szofverei

​Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.

hirdetés
Közösség