在发现MP4视频文件漏洞后 CERT-In要求用户更新WhatsApp
印度计算机应急小组(CERT-in)是处理网络安全相关威胁的节点机构,要求印度WhatsApp户在Facebook最近报告的aMP 4视频文件漏洞之后,更新他们的应用程序。
“由于不正确地解析MP4文件的基本元数据,WhatsApp中存在基于堆栈的缓冲区溢出漏洞。远程攻击者可以通过向目标系统发送巧尽心思构建的MP4文件来攻击此漏洞。这可能触发缓冲区溢出条件,导致攻击者执行任意代码。这种攻击不需要受害者提供任何形式的身份验证,并且在恶意下载恶意MP4文件时执行,“CERT-in在其网站上说。
该机构表示,远程黑客可以利用该漏洞在目标设备上执行任意代码
“成功利用此漏洞可使远程攻击者导致拒绝服务(DoS)条件的远程代码执行(RCE),从而进一步危及系统,”它补充道。
不过WhatsApp表示,没有用户受到新漏洞的影响。
他说:“WhatsApp一直致力于改善我们服务的安全性。我们公布,报告的潜在问题,我们已固定与行业的最佳做法。在这种情况下,没有理由相信用户受到了影响,“WhatsApp发言人告诉Mint。
根据Facebook的咨询意见,在2.19.274之前的Android版本、2.19.100之前的iOS版本、2.25.3之前的企业客户端版本、2.19.104之前的Android版本、2.19.100之前的iOS版本以及2.18.368之前的Windows Phone版本上都存在安全漏洞。
还阅读: WhatsApp漏洞,将用户的数据置于危险之中
WhatsApp最近被使用Pegasus的黑客攻击,Pegasus是一种由以色列NSO集团制造的间谍软件。间谍软件利用WhatsApp视频呼叫功能的漏洞,允许黑客窥探世界各地的1400名个人。印度的一些用户也成为飞马间谍软件的目标。印度政府要求即时通讯公司对间谍软件的黑客行为做出解释。
“我们同意印度政府关于有必要保护所有印度公民隐私的强烈声明。这就是为什么我们采取这一强有力的行动来追究网络攻击者的责任,为什么WhatsApp如此致力于通过我们提供的产品保护所有用户信息,“WhatsApp发言人说。