Facebook 剛剛披露了 WhatsApp 緩衝區漏洞的部分細節。在上週的一份安全公告中,其表示 CVE-2019-11931 是由基於堆棧的緩衝區溢出 bug 引發,導致攻擊者可向受害者發送精心製作的 .MP4 格式視頻文件來觸發這個漏洞。 儘管沒有提供太多的技術細節,但 Facebook 表示,問題出在這款加密消息應用對 .MP4 基礎流元數據(elementary stream metadata)的解析上。
(圖自:Google Play,via ZDNet)
若被利用,該漏洞可導致拒絕服務(DoS)或遠程代碼執行(RCE)攻擊。無論是 Android、還是 iOS 客戶端,2.19.274 之前的 WhatsApp 版本,均受到該漏洞的影響。
Android 2.19.104 之前的 Android 商務版、以及 2.19.100 之前 iOS 商務版,也易受到此類攻擊。
2.25.3 之前的企業版客戶端和 WhatsApp 的 WindowsPhone 版本(包括 2.18.368 及更低版本)同樣受到影響。
儘管尚無該漏洞被野外利用的報告,Facebook 還是建議 WhatsApp 用戶儘快將軟件更新到最新版本,以降低風險。Facebook 發言人稱:
我們一直在努力提升 WhatsApp 服務的安全性,且會針對已解決的潛在問題發佈公開報告、並根據行業最佳實踐進行修復。
對於 CVE-2019-11931 漏洞,我們相信沒有用戶受到實際的影響。
閱讀更多 cnBeta 的文章