Veszélyes hibától szabadult meg a WhatsApp
Súlyos biztonsági hibát javított a Facebook a WhatsApp alkalmazásának kapcsán. Érdemes figyelni a mielőbbi frissítésre.
A WhatsApp jelenleg 1,5 milliárd aktív felhasználóval rendelkezik, ami igencsak vonzóvá teszi az alkalmazást, és a mögötte meghúzódó infrastruktúrát a kibertámadók számára. Szerencsére a legutóbbi sebezhetőségre egy etikus hacker akadt rá, és még azelőtt jelezte a biztonsági rendellenességet a fejlesztőknek, mielőtt az komolyabb problémák forrásává vált volna. A hibajavítás azóta már elkészült, így egy frissítéssel egyszerűen foltozható a biztonsági rés.
A sérülékenységet Gal Weizman, a PerimeterX biztonsági kutatója fedezte fel. A szakember a népszerű alkalmazás asztali verzióját vette szemügyre, és abban tárta fel a szóban forgó sérülékenységet. Vagyis ezúttal nem a mobil appokkal akadt probléma, hanem a Windows és a macOS kompatibilis kiadásokkal. Ezt pedig minden bizonnyal kevesebben használják, mint a mobilos változatokat, de ettől a sebezhetőség kockázatait még nem célszerű lebecsülni.
Weizman a hiba felfedezését követően egy támadási módszert is kidolgozott, amivel igazolni tudta a hiba létezését. Elmondta, hogy a sebezhetőség speciálisan összeállított üzenetekkel, illetve azokban lévő hivatkozásokkal válhat kihasználhatóvá. Ha a felhasználó erre rákattint, akkor XSS (Cross-site scripting) típusú támadások vehetik kezdetüket, és a támadók hozzáférést szerezhetnek a helyi fájlrendszerhez. A kutató a vizsgálatai során az erre a célra kialakított környezetben például a Windows hosts állományát kaparintotta meg ilyen módon. Arról egyelőre nem érkeztek hírek, hogy a sérülékenység a fájlrendszer olvasásán túl fájlmanipulációra is módot adna.
Forrás: Gal Weizman
A Facebook a 10-es fokozatú CVSS-veszélyességi skálán 8,2-re értékelte a sérülékenységet. A kockázatok értékelése során nyilván figyelembe vette, hogy a biztonsági rés távolról is kihasználhatóvá válhat, de ehhez felhasználói közreműködésre is szükség van. Emellett a hiba "csak" akkor jelent veszélyt, amikor a felhasználó WhatsApp for iPhone alkalmazással párosítja a WhatsApp Desktop szoftvert.
A Facebook a WhatsApp Desktop v0.3.9309 kiadásával szüntette meg a sebezhetőséget. A felfedezőt pedig 12.500 dollár jutalomban részesítette.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.
