fbpx

WhatsApp corrige un bug qui aurait permis aux pirates d’exploiter des appareils via des fichiers MP4

Par

le

Facebook a révélé l’existence d’une vulnérabilité grave conduisant à des attaques d’exécution de code à distance dans le logiciel de messagerie WhatsApp.

WhatsApp a corrigé une vulnérabilité impliquant des fichiers vidéo MP4 malveillants pouvant permettre à un attaquant d’accéder à distance aux messages et aux fichiers stockés dans l’application.

La faille, identifiée comme CVE-2019-11931, permettait aux attaquants d’envoyer un fichier MP4 spécialement conçu pour exécuter à distance un code malveillant sur le périphérique de la victime sans aucune intervention.

Dans un avis publié sur son site, Facebook a déclaré:

« Ce bug est de type dépassement de tampon pourrait être déclenché dans WhatsApp en envoyant un fichier MP4 spécialement conçu à un utilisateur de WhatsApp. Le problème était présent lors de l’analyse des métadonnées du flux élémentaire d’un fichier MP4 et pourrait entraîner un déni de service (DoS) ou un RCE (exécution de code à distance). »

Cependant, la seule faille ne signifie pas qu’elle pourrait être utilisée à des fins néfastes. Comme souvent, il peut s’agir d’un point d’entrée pour une chaîne d’exploit qui relie un groupe de vulnérabilités de sécurité, permettant ainsi à un pirate d’infiltrer les protections numériques.

Un porte-parole de la société a déclaré: «WhatsApp travaille constamment à améliorer la sécurité de nos services. Nous publions des rapports sur les problèmes potentiels que nous avons résolus conformément aux meilleures pratiques de l’industrie. Dans ce cas, il n’y a aucune raison de croire que les utilisateurs ont été touchés. ”

Le bogue concernait les versions d’Android antérieures à 2.19.274, iOS antérieures à 2.19.100, les versions d’Enterprise Client antérieures à 2.25.3, les versions de Windows Phone antérieures à 2.18.368, les versions Business pour Android antérieures à 2.19.104 et Business. pour les versions iOS antérieures à 2.19.100.

Bien que rien n’indique que la faille a été exploitée, la divulgation intervient des semaines après que WhatsApp ait révélé qu’au moins deux douzaines d’universitaires, d’avocats, de militants Dalits et de journalistes en Inde avaient été la cible de surveillance par des opérateurs de la menace utilisant le logiciel espion Pegasus de la société de sécurité NSO Group.

Le géant des réseaux sociaux a également poursuivi la société israélienne pour avoir exploité une faille d’appel vidéo maintenant corrigée dans le service WhatsApp afin de surveiller plus de 1 400 utilisateurs.

En attendant, il est essentiel de mettre à jour WhatsApp vers la dernière version pour limiter les risques d’exploitation.

Articles recommandés