Новости Software

Уязвимости WhatsApp позволяли злоумышленникам получить доступ к файлам на ПК жертвы

Исследователь Гал Вaйцман (Gal Weizman), работающий в сфере информационной безопасности, раскрыл технические подробности некоторых уязвимостей высокой степени опасности, которые были обнаружены им в популярном мессенджере WhatsApp. На данный момент уязвимости, позволявшие злоумышленникам удалённо похищать файлы с ПК под управлением Windows и macOS, устранены разработчиком.

В сообщении говорится о том, что опасные уязвимости были обнаружены в настольных версиях клиента WhatsApp для платформ Windows и macOS, а также в веб-версии приложения. Эксплуатация уязвимостей позволяла злоумышленникам получить удалённый доступ к пользовательским файлам и предусматривала отправку жертве специально созданного сообщения. Ничего не подозревающему пользователю могло прийти сообщение, больше похожее на код, чем на обычный текст, просмотр которого позволял злоумышленникам осуществить выполнение произвольного кода в контексте веб-домена WhatsApp.

Кроме того, неправильно настроенная политика безопасности контента в веб-домене WhatsApp позволяла осуществлять межсайтовый скриптинг, используя для этого iframe с отдельного ресурса, находящегося под контролем злоумышленников. Ещё исследователь использовал уязвимости мессенджера для получения прав на удалённое чтение файлов внутри атакуемой системы.

Ещё в прошлом году Вайцман уведомил о найденных уязвимостях службу безопасности Facebook*, которая проверила данные и выпустила соответствующее обновление для устранения проблем. В рамках программы вознаграждений за обнаруженные уязвимости в продуктах компании Facebook* исследователь получил $12 500.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Строительная головоломка LEGO Bricktales выйдет к концу года на всех основных платформах 2 ч.
Роликовый экшен Rollerdrome поступил в продажу и получил кинематографический трейлер 2 ч.
Супергеройский боевик Gotham Knights отправился на золото и к релизу опаздывать не намерен 3 ч.
Autodesk ликвидирует российское юрлицо и уволит персонал российского офиса 3 ч.
Amazon раскрыл дату выхода и новые подробности New Tales from the Borderlands — игру так пока полноценно и не анонсировали 3 ч.
VK Play разрешит публиковать игры физлицам 5 ч.
В результате фишинговой атаки скомпрометированы данные 1900 пользователей защищённого мессенджера Signal 5 ч.
Сюжетное дополнение к Dying Light 2 получило название и первый тизер — полноценный анонс ждёт на открытии gamescom 2022 5 ч.
Разработчики приключения Planet of Lana уточнили новые сроки выхода и подтвердили релиз в Game Pass 5 ч.
PlayStation PC может стать лаунчером — его упоминание нашли в ПК-версии Marvel’s Spider-Man 6 ч.