WhatsApp corrige un bogue de sécurité « critique » qui met en danger les données du téléphone Android

WhatsApp corrige un bogue de securite critique qui met en

WhatsApp a publié les détails d’une vulnérabilité de sécurité classée « critique » affectant son application Android qui pourrait permettre aux attaquants de planter à distance des logiciels malveillants sur un smartphone victime lors d’un appel vidéo.

Les détails de la faille, suivis comme CVE-2022-36934 avec une cote de gravité attribuée de 9,8 sur 10, sont décrits par WhatsApp comme un bogue de débordement d’entier. Cela se produit lorsqu’une application tente d’effectuer un processus de calcul mais n’a pas d’espace dans sa mémoire allouée, ce qui provoque le débordement des données et l’écrasement d’autres parties de la mémoire du système avec un code potentiellement malveillant.

WhatsApp n’a pas partagé d’autres détails sur le bogue. Mais la société de recherche en sécurité Malwarebytes a déclaré dans sa propre analyse technique que le bogue se trouvait dans un composant de l’application WhatsApp appelé « Video Call Handler », qui, s’il était déclenché, permettrait à un attaquant de prendre le contrôle total de l’application d’une victime.

Le porte-parole de WhatsApp, Joshua Breckman, a déclaré à TechCrunch que les bugs avaient été découverts en interne et que la société n’avait vu « aucune preuve d’exploitation ».

La vulnérabilité de mémoire critique est similaire à un bogue de 2019, que WhatsApp a finalement imputé au fabricant israélien de logiciels espions NSO Group en 2019 pour cibler les téléphones de 1 400 victimes, dont des journalistes, des défenseurs des droits de l’homme et d’autres civils. L’attaque a exploité un bogue dans la fonction d’appel audio de WhatsApp qui permettait à l’appelant d’implanter un logiciel espion sur l’appareil de la victime, que l’appel ait été répondu ou non.

WhatsApp a également révélé cette semaine les détails d’une autre vulnérabilité, CVE-2022-27492, dont la gravité est « élevée » à 7,8 sur 10, ce qui pourrait permettre aux pirates d’exécuter un code malveillant sur l’appareil iOS d’une victime après avoir envoyé un fichier vidéo malveillant.

La manipulation avec une entrée inconnue conduit à une vulnérabilité de corruption de mémoire, a déclaré Pieter Arntz, chercheur en intelligence chez Malwarebytes. Pour exploiter cette vulnérabilité, les attaquants devraient déposer un fichier vidéo spécialement conçu sur le messager WhatsApp des utilisateurs et convaincre l’utilisateur de le lire.

Les deux failles sont corrigées dans les dernières versions de WhatsApp. Mise à jour aujourd’hui.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite