8 sep. 2020

WhatsApp revela 6 fallos de seguridad, ya corregidos

WhatsApp, propiedad de Facebook, ha aprovechado la publicación de 6 fallos deseguridad que ha corregido en sus principales clientes de mensajería instantánea para hacerlo a través de un nuevo portal destinado a aglutinar información relativa a la seguridad de su plataforma así como los fallos que vayan corrigiendo de la misma.

Estos fallos han sido descubiertos a través de revisiones internas del equipo de seguridad de WhatsApp y también a través del programa de BugBountyque alberga Facebook. A continuación se detallan los fallos encontrados:

CVE-2020-1894

Se ha encontrado un desbordamiento de memoria intermedia, que podría permitir a un atacante remoto llevar a cabo ejecución remota de código a través de un mensaje especialmente manipulado. Este fallo está presente en las aplicaciones de WhatsApp para Android anteriores a v2.20.35, WhatsApp Business para Android anteriores a v2.20.20, WhatsApp para iPhone anteriores a v2.20.30 y WhatsApp Business para iPhone anteriores a v2.20.30.

CVE-2020-1891

Un fallo de límites en el tratamiento de un parámetro controlado por el usuario en las llamadas de video que podría permitir escribir en partes de la memoria restringidas en los dispositivos de 32 bits. Este fallo está presente en WhatsApp para Android anteriores a v2.20.17, WhatsApp Business para Android anteriores a v2.20.7, WhatsApp para iPhone anteriores a v2.20.20, y WhatsApp Business para iPhone anteriores a v2.20.20.

CVE-2020-1890

Un error en la validación de una URL podría permitir a un atacante cargar una imagen a través de una de un mensaje multimedia tipo "Sticker" especialmente manipulado, sin necesidad de interacción del usuario. Este fallo está presente en WhatsApp para Android anteriores a v2.20.11 y WhatsApp Business para Android anteriores a v2.20.2.

CVE-2020-1889

Un problema de omisión de las funcionalidades de seguridad en versiones anteriores a v0.3.4932 en WhatsApp Desktop. Podría permitir que un atacante remoto salga del contexto de la sandbox. Este fallo podría llevar a cabo una escalada de privilegios si se combinaba con una vulnerabilidad de ejecución de código remota dentro del proceso de renderización en sandbox.

CVE-2020-1886

Un desbordamiento de memoria intermedia podría permitir a un atacante remoto escribir fuera de los límites de la memoria asignada a través de un una llamada de video especialmente manipulada. Este fallo está presente en WhatsApp para Android anteriores a v2.20.11 y WhatsApp Business para Android anteriores a v2.20.2

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!