WhatsApp sửa lỗi bảo mật giúp tin tặc khai thác bằng tập tin MP4

WhatsApp sửa lỗi cho phép tin tặc khai thác dữ liệu bằng tập tin MP4

WhatsApp vừa khắc phục một lỗ hổng liên quan đến các tập tin MP4 độc hại, có thể bị tin tặc khai thác để truy cập từ xa vào những tin nhắn và tập tin lưu trong ứng dụng.

WhatsApp sửa lỗi cho phép tin tặc khai thác dữ liệu bằng tập tin MP4

Tin tặc có thể lợi dụng lỗ hổng CVE-2019-11931 để gửi tập tin MP4 được thiết kế đặc biệt đến thiết bị và tiến hành tấn công thực thi mã độc từ xa mà không cần bất kỳ sự can thiệp trực tiếp nào. Facebook cho biết có một lỗi tràn bộ nhớ đệm trên ngắn xếp (stack) trong WhatsApp có thể bị khai thác bằng cách gửi tập tin MP4 được tạo theo cách thủ công đến người dùng. Nếu bị khai thác, lỗ hổng có thể “mở đường” cho các cuộc tấn công từ chối dịch vụ (DoS) hoặc thực thi mã từ xa (RCE).

Tuy nhiên, chưa chắc lỗ hổng được sử dụng với mục đích bất chính. Trong một số trường hợp, đây có thể là điểm vào (entry point) trong một chuỗi khai thác (exploit chain) liên kết với nhau thành một nhóm nhiều lỗ hổng bảo mật. Tin tặc có thể lợi dụng để xâm nhập vào các phương thức bảo vệ kỹ thuật số.

Cụ thể, lổ hổng trên WhatsApp này ảnh hưởng:

  • phiên bản Android trước 2.19.274
  • phiên bản iOS trước 2.19.100
  • phiên bản khách hàng doanh nghiệp trước 2.25.3
  • phiên bản Windows Phone từ 2.18.368 trở về trước
  • phiên bản Android Doanh nghiệp trước 2.19.104
  • phiên bản iOS Doanh nghiệp trước 2.19.100.

Dù chưa có dấu hiệu nào cho thấy lỗ hổng bị khai thác, nhưng vài tuần trước WhatsApp vừa báo cáo có ít nhất hai chục học giả, luật sư, nhà hoạt động nhân quyền và nhà báo ở Ấn Độ trở thành mục tiêu giám sát của một số tổ chức nhà nước sử dụng phần mềm gián điệp Pegasus của NSO Group. Facebook đã kiện công ty bảo mật này vì khai thác lỗ hổng cuộc gọi trong ứng dụng WhatsApp (hiện đã được khắc phục) để giám sát hơn 1.400 người dùng.

Hiện tại, người dùng cần cập nhật ứng dụng WhatsApp lên phiên bản mới nhất để bảo vệ thiết bị khỏi những cuộc tấn công có thể xảy ra.

Theo The Next Web