WhatsApp исправило серьезную ошибку коррупции кучи в не -WebRTC видео внедрение конференц-связи, которое могло позволить нападавшим разбивать iOS, и Android строит, посылая уродливый пакет RTP, звоня жертве.

Как детализировано в отчете об ошибках Натали Зилванових, уязвимость, возможно, эксплуатировалась злонамеренной стороной со знанием, должен был создать и послать уродливый пакет RTP в мобильное приложение WhatsApp для iOS и Android.

О проблеме коррупции кучи RTP WhatsApp сначала сообщил 31 августа член команды Google Project Zero, и она была зафиксирована 28 сентября в WhatsApp для Android и 3 октября для копии iOS.

Сильванович говорит в своем отчете, что проблема была вызвана, когда пользователь WhatsApp получил видео требование, содержащее злонамеренный пакет RTP, разработанный, чтобы разбить мобильное приложение, вызвав ошибку повреждения памяти.

Ошибка повреждения памяти, которая могла разбить WhatsApp на iOS и устройствах на базе Android, теперь зафиксирована

Исследователь Google Project Zero также обеспечивает доказательство понятия, которое может использоваться, чтобы эксплуатировать уязвимые версии WhatsApp , будучи примененным на устройство нападавшего.

«Перезапустите WhatsApp и назовите целевое устройство и возьмите требование. Устройство потерпит крах через несколько секунд», заключительный шаг, должен был воспроизвести проблему согласно «WhatsApp: Коррупция Кучи в RTP, обрабатывающем» описание проблемы.

Энн Е, представитель WhatsApp сказала Агентству Рейтер в электронном письме, что “Мы обычно сотрудничаем с исследователями безопасности со всего мира, чтобы гарантировать, что WhatsApp остается безопасным и надежным. Мы быстро выпустили фиксацию к последней версии WhatsApp, чтобы решить этот вопрос”.

По словам Марка Цукерберга, WhatsApp передал 1 миллиард пользовательских отметок в 2016, и у этого есть приложения для всех популярных настольных и мобильных операционных систем (например, iOS, Android, Windows, macOS).

Ошибка повреждения памяти в non-WebRTC видео внедрении конференц-связи WhatsApp https://t.co/5sCmNznh4P — Натали Зилванових (@natashenka) 9 октября 2018