WhatsApp, saldırganların uzaktan kod çalıştırmasına izin veren 6 güvenlik hatasını açıkladı.
WhatsApp, dünya çapında iki milyardan fazla kullanıcı tarafından kullanılan bir mesajlaşma uygulamasıdır. Tüm güvenlik açıkları, kullanıcılar ve güvenlik uzmanları için güvenlik açıkları hakkında daha şeffaf ayrıntılar sağlamayı amaçlayan özel güvenlik danışma sitesinde açıklandı.
İlgili blog gönderisinde “Kullanıcılarımızın güvenliğini çok ciddiye alıyoruz ve tüm dünyadaki kullanıcılarımız için endüstri lideri koruma sağlıyoruz. WhatsApp’taki güvenlik ekibimiz, potansiyel tehditlerin önüne geçmek için dünyanın her yerinden uzmanlarla birlikte çalışıyor ”dendi.
WhatsApp Güvenlik Hataları
- CVE-2020-1894 – Android için WhatsApp Business’ta yığın yazma hatası
- CVE-2020-1891 -Android için WhatsApp’ta görüntülü görüşmede kullanılan kullanıcı kontrollü bir parametre
- CVE-2020-1890 – Android için WhatsApp’ta bir URL doğrulama sorunu
- CVE-2020-1889 – WhatsApp Masaüstü sürümlerinde güvenlik özelliği atlama sorunu
- CVE-2020-1886 – Android için WhatsApp’ta arabellek taşması
- CVE-2019-11928 – WhatsApp Masaüstü sürümlerinde bir giriş doğrulama sorunu
CVE-2020-1894
Saldırganların özel olarak hazırlanmış bir bas-konuş mesajını çalarken rastgele kod çalıştırmasına olanak tanıyan yığın yazma taşması.
V2.20.35’ten önceki Android için WhatsApp’ı, v2.20.20’den önceki Android için WhatsApp Business’ı, v2.20.30’dan önceki iPhone için WhatsApp’ı ve v2.20.30’dan önceki iPhone için WhatsApp Business’ı etkiler.
CVE-2020-1891
WhatsApp’ta bir görüntülü aramada kullanılan kullanıcı kontrollü bir parametre, 32 bit cihazlarda sınır dışı bir yazıma izin verdi.
Hata, v2.20.17’den önceki Android için WhatsApp’ı, v2.20.7’den önceki Android için WhatsApp Business’ı, v2.20.20’den önceki iPhone için WhatsApp’ı ve v2.20.20’den önceki iPhone için WhatsApp Business’ı etkiler.
CVE-2020-1890
V2.20.11’den önceki Android için WhatsApp ve v2.20.2’den önceki Android için WhatsApp Business’taki bir URL doğrulama sorunu, gönderen tarafından kontrol edilen URL’den görüntüleri yükleyen bir etiket mesajında hatalı biçimlendirilmiş verilerin yürütülmesine izin verir.
CVE-2020-1889
V0.3.4932’den önceki WhatsApp Desktop sürümlerinde bir güvenlik özelliği atlama sorunu, Electron’da sandbox kaçışına ve korumalı alan oluşturucu işlemi içindeki bir uzaktan kod yürütme güvenlik açığıyla birleştirildiğinde ayrıcalığın artmasına izin verebilirdi.
CVE-2020-1886
V2.20.11’den önceki WhatsApp for Android ve v2.20.2’den önceki WhatsApp Business’taki arabellek taşması, kötü amaçlı bir video araması aldıktan ve yanıtladıktan sonra özel olarak hazırlanmış bir video akışı aracılığıyla sınır dışı kişilerin yazmasına izin verebilirdi.
CVE-2019-11928
WhatsApp Desktop sürümlerinde v0.3.4932’den önceki bir giriş doğrulama sorunu, özel hazırlanmış bir canlı konum mesajından bir bağlantıya tıklandığında siteler arası komut dosyası oluşturmaya izin verebiliyor.