一位獨立資安研究人員發現 WhatsApp Android 版 App 存有嚴重安全漏洞,可能導致用戶的 Android 手機遭到駭侵者全面控制。
報告指出在 Android 8.1 和 9.0 版上的 WhatsApp 存有此一漏洞,可讓駭侵者遠端執行任意程式碼;攻擊者可先傳送一張惡意 GIF 檔,當用戶在 WhatsApp 的相片圖庫時,就會觸發 double-free 錯誤並導致可遠端執行任意程式碼。
iOS 版的 WhatsApp 沒有這個問題。
這個代號為 Awakened 的資安研究員,在數周前將此發現提報給 Facebook。他也製作了一段示範影片。
影片中可以看到駭侵者利用這個漏洞,取得手機的 root 權限,並可存取手機上的任何檔案;目前 WhatsApp 已在 2.19.244 後的版本修補了這個漏洞。
- CVE編號:CVE-2019-11932
- 影響產品(版本):WhatsApp Android 版 App 2.19.244 之前版本
- 解決方案:升級至 2.19.244 之後的 WhatsApp 版本。
- 參考連結
- https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/
- https://nakedsecurity.sophos.com/2019/10/04/whatsapp-vulnerability-could-compromise-android-smartphones/
- https://nvd.nist.gov/vuln/detail/CVE-2018-11932
- 【更多資訊產品漏洞】請參考 https://twcert.org.tw/twcert/advistory
文章標籤
全站熱搜
留言列表
資安宣導 (2)
