Whatsapp : une faille sur les vidéos MP4 permet d’exécuter le code à distance
Facebook a révélé l’existence d’une grave vulnérabilité entraînant des attaques d’exécution de code à distance dans le logiciel de messagerie Whatsapp. La semaine dernière, le géant de la technologie a déclaré dans un avis de sécurité que le bug Whatsapp, connu sous le nom CVE-2019-11931, relève d’un problème de débordement de tampon basé sur la pile qui peut être déclenché par des attaquants envoyant des fichiers vidéo .MP4 aux victimes.
Bien qu’il n’y ait pas beaucoup de détails techniques disponibles, Facebook a présenté ce problème comme étant causé par la façon dont l’application de messagerie cryptée analyse les métadonnées du flux élémentaire MP4. Si elle est exploitée, la vulnérabilité peut conduire à des attaques par déni de service (DoS) ou exécution de code à distance (RCE).
Les versions de Whatsapp antérieures à 2.19.274 sur Android et les versions iOS antérieures à 2.19.100 sont affectées. Les utilisateurs professionnels de Whatsapp avant la version 2.19.104 sur Android et la version 2.19.100 sur iOS sont également vulnérables aux attaques. Les versions du client Entreprise antérieures à la 2.25.3 et les versions de Whatsapp pour Windows Phone, y compris la 2.18.368 et les versions inférieures, sont également concernées.
publicité
Une mise à jour nécessaire
Il est recommandé aux utilisateurs de mettre à jour leurs versions logicielles afin d’atténuer le risque d’exploitation. Toutefois, il ne semble pas y avoir de rapports sur la vulnérabilité exploitée activement dans la nature. “Whatsapp travaille constamment à améliorer la sécurité de notre service”, a déclaré un porte-parole de Facebook. “Nous publions des rapports publics sur les problèmes potentiels que nous avons réglés, conformément aux pratiques exemplaires de l’industrie. Dans ce cas, il n’y a aucune raison de croire que les utilisateurs ont été touchés”, a fait savoir le géant américain.
Whatsapp s’est déjà trouvé au centre d’une controverse concernant le groupe israélien NSO, les fabricants de l’outil d'”interception légale” de Pegasus. En mai, l’équipe Whatsapp a été informée d’une vulnérabilité utilisée pour déployer le spyware sur les terminaux des utilisateurs WhatsApp. En octobre, un chercheur en cybersécurité a découvert une double vulnérabilité libre, CVE-2019-11932, qui pourrait être utilisée dans les attaques pour compromettre les sessions de chat, les fichiers et les messages.
La faille de sécurité peut être déclenchée par une application malveillante déjà installée sur un périphérique cible ou par l’envoi d’un fichier.GIF malveillant. S’il était exploité, le bogue pouvait entraîner l’exécution à distance du code et a été corrigé dans WhatsApp version 2.19.244.
Un autre ensemble de vulnérabilités intéressantes dans l’application de messagerie a été révélé par Check Point un mois auparavant. L’ensemble des bogues ” pourrait permettre aux acteurs de la menace d’intercepter et de manipuler les messages envoyés dans les conversations privées et de groupe “, ont dit les chercheurs, et pourrait être utilisé comme arme pour exploiter les fonctions de ” citation ” de groupe, les réponses et les messages privés.
Source : ZDNet.com
