WhatsApp reveló 6 errores de seguridad a través de su sitio de avisos de seguridad dedicado que permite a los atacantes ejecutar código remoto.
WhatsApp es una aplicación de mensajería utilizada por más de dos mil millones de usuarios en todo el mundo. Todas las vulnerabilidades se divulgan en un sitio de asesoramiento de seguridad dedicado destinado a proporcionar detalles más transparentes sobre las vulnerabilidades para los usuarios y los profesionales de la seguridad.
“Nos tomamos muy en serio la seguridad de nuestros usuarios y proporcionamos una protección líder en la industria para nuestros usuarios en todo el mundo. Nuestro equipo de seguridad de WhatsApp trabaja con expertos de todo el mundo para adelantarse a las posibles amenazas ”, se lee en la publicación del blog.
6 errores de seguridad de WhatsApp
CVE-2020-1894: un error de desbordamiento de escritura de pila en WhatsApp Business para Android
CVE-2020-1891 -Un parámetro controlado por el usuario utilizado en videollamadas en WhatsApp para Android
CVE-2020-1890: un problema de validación de URL en WhatsApp para Android
CVE-2020-1889: problema de omisión de funciones de seguridad en las versiones de escritorio de WhatsApp
CVE-2020-1886 – Un desbordamiento de búfer en WhatsApp para Android
CVE-2019-11928: un problema de validación de entrada en las versiones de escritorio de WhatsApp
CVE-2020-1894
Un desbordamiento de escritura de pila que permite a los atacantes ejecutar código arbitrario cuando reproducen un mensaje push to talk especialmente diseñado.
Afecta a WhatsApp para Android antes de la v2.20.35, WhatsApp Business para Android antes de la v2.20.20, WhatsApp para iPhone antes de la v2.20.30 y WhatsApp Business para iPhone antes de la v2.20.30.
CVE-2020-1891
Un parámetro controlado por el usuario utilizado en una videollamada en WhatsApp permitió una escritura fuera de los límites en dispositivos de 32 bits.
El error afecta a WhatsApp para Android antes de la v2.20.17, WhatsApp Business para Android antes de la v2.20.7, WhatsApp para iPhone antes de la v2.20.20 y WhatsApp Business para iPhone antes de la v2.20.20.
CVE-2020-1890
Un problema de validación de URL en WhatsApp para Android antes de la v2.20.11 y WhatsApp Business para Android antes de la v2.20.2 permitiría la ejecución de datos con formato incorrecto en un mensaje de etiqueta que carga imágenes de la URL controlada por el remitente.
CVE-2020-1889
Un problema de omisión de funciones de seguridad en las versiones de WhatsApp Desktop anteriores a la v0.3.4932 podría haber permitido el escape de la zona de pruebas en Electron y la escalada de privilegios si se combinaba con una vulnerabilidad de ejecución remota de código dentro del proceso de renderización de la zona de pruebas.
CVE-2020-1886
Un desbordamiento de búfer en WhatsApp para Android antes de la v2.20.11 y WhatsApp Business para Android antes de la v2.20.2 podría haber permitido una escritura fuera de los límites a través de una transmisión de video especialmente diseñada después de recibir y responder una videollamada maliciosa.
CVE-2019-11928
Un problema de validación de entrada en las versiones de WhatsApp Desktop antes de la v0.3.4932 podría haber permitido la creación de scripts entre sitios al hacer clic en un enlace de un mensaje de ubicación en vivo especialmente diseñado.