Łatajcie szybko WhatsAppa – krytyczna podatność potencjalnie umożliwiająca instalację spyware filmem mp4

WhatsApp jest podatny na wszystkie platformy (Android, iOS):

A stack-based buffer overflow could be triggered in WhatsApp by sending a specially crafted MP4 file to a WhatsApp user. The issue was present in parsing the elementary stream metadata of an MP4 file and could result in a DoS or RCE.

Facebook opublikował dość lakoniczną informację, wskazującą że podatność może być użyta do realizacji RCE (Remote Code Execution) lub DoS-a, a aktywowana jest ona poprzez przesłanie ofierze odpowiednio spreparowanego pliku mp4. Dostępna jest też nowa wersja komunikatora łatająca lukę (Android: 2.19.274, iOS: 2.19.100)

Parę miesięcy temu WhatsApp załatał inną lukę, która wykorzystywana była (jako 0-day) do operacji szpiegowskich. Temat niedawno odżył też przy okazji Pegasusa w Polsce. Czy obecna luka była wykorzystywana w rzeczywistości? Na razie nikt nie publikuje o tym stosownej informacji.

–ms