圖片來源: 

Photo by Jamie Street on Unsplash

臉書(Facebook)在上周悄悄修補了WhatsApp的一個緩衝區溢位漏洞,此一編號為CVE-2019-11931的安全漏洞只要藉由一個惡意的MP4檔案就能觸發,造成服務阻斷或遠端程式執行,且同時影響Android與iOS用戶。

WhatsApp向Threatpost透露,該漏洞是由WhatsApp內部工程師自行發現,迄今並無任何證據顯示已被開採。

根據臉書的說明,這是一個堆疊緩衝區溢位漏洞,駭客只要傳遞一個特製的MP4檔案予WhatsApp用戶就能觸發,問題出在於解析MP4檔案串流元資料時,可能導致服務中斷或是允許駭客自遠端執行程式。

該漏洞同時波及各個平台的WhatsApp版本,涵蓋Android 、iOS、Windows Phone、Business for Android 、Business for iOS,以及Enterprise Client。

曾被視為安全傳訊程式的WhatsApp近來成為駭客的攻擊目標,臉書今年5月就曾修補已被開採的CVE-2019-3568漏洞,駭客只要傳送一個特製的SRTCP封包到目標對象的手機上,就能觸發緩衝區溢位漏洞,並執行任何程式,駭客利用此一漏洞來植入Pegasus間諜程式,臉書還因此控告了開發Pegasus的以色列駭客公司NSO Group。

外界猜測,WhatsApp可能是在察覺自己成為駭客目標後,展開全面的資安補強,進而發現與修補最新的CVE-2019-11931漏洞。


Advertisement

更多 iThome相關內容