O WhatsApp divulga 6 bugs de que permitem execução remota de código

O WhatsApp é um aplicativo de mensagens usado por mais de dois bilhões de usuários em todo o mundo. Todas as vulnerabilidades são divulgadas em um site de consultoria de segurança dedicado, com o objetivo de fornecer detalhes mais transparentes sobre vulnerabilidades para usuários e profissionais de segurança.

“Levamos a segurança de nossos usuários muito a sério e oferecemos proteção líder do setor para nossos usuários em todo o mundo. Nossa equipe de segurança no WhatsApp trabalha com especialistas em todo o mundo para ficar à frente de ameaças potenciais ”, diz a postagem do blog .

6 bugs de segurança do WhatsApp

1. CVE-2020-1894 – Um bug de estouro de gravação de pilha no WhatsApp Business para Android
2. CVE-2020-1891 -Um parâmetro controlado pelo usuário usado em videochamadas no WhatsApp para Android
3. CVE-2020-1890 – Um problema de validação de URL no WhatsApp para Android
4. CVE-2020-1889 – problema de desvio de recurso de segurança em versões WhatsApp Desktop
5. CVE-2020-1886 – Um estouro de buffer no WhatsApp para Android
6. CVE-2019-11928 -Um problema de validação de entrada nas versões do WhatsApp Desktop

CVE-2020-1894

Um estouro de gravação de pilha que permite que invasores executem código arbitrário ao reproduzir uma mensagem push to talk especialmente criada.

Afeta o WhatsApp para Android antes da v2.20.35, o WhatsApp Business para Android antes da v2.20.20, o WhatsApp para iPhone antes da v2.20.30 e o WhatsApp Business para iPhone antes da v2.20.30.

CVE-2020-1891

Um parâmetro controlado pelo usuário usado em uma chamada de vídeo no WhatsApp permitia uma gravação fora dos limites em dispositivos de 32 bits.

O bug afeta o WhatsApp para Android antes da v2.20.17, o WhatsApp Business para Android antes da v2.20.7, o WhatsApp para iPhone antes da v2.20.20 e o WhatsApp Business para iPhone antes da v2.20.20.

CVE-2020-1890

Um problema de validação de URL no WhatsApp para Android antes da v2.20.11 e no WhatsApp Business para Android antes da v2.20.2 permitiria a execução de dados malformados em uma mensagem de adesivo que carrega imagens da URL controlada pelo remetente.

CVE-2020-1889

Um problema de desvio de recurso de segurança nas versões do WhatsApp Desktop anteriores à v0.3.4932 poderia ter permitido o escape da sandbox no Electron e o escalonamento de privilégios se combinado com uma vulnerabilidade de execução remota de código dentro do processo de renderização da sandbox.

CVE-2020-1886

Um estouro de buffer no WhatsApp para Android antes da v2.20.11 e no WhatsApp Business para Android antes da v2.20.2 poderia ter permitido uma gravação fora dos limites por meio de um fluxo de vídeo especialmente criado após receber e responder uma chamada de vídeo maliciosa.

CVE-2019-11928

Um problema de validação de entrada nas versões do WhatsApp Desktop anteriores à v0.3.4932 pode ter permitido o cross-site scripting ao clicar em um link de uma mensagem de local ao vivo especialmente criada.

Fonte: https://gbhackers.com/whatsapp-vulnerability-2