Breaking News
AMR | Citrix Webinar: The Next New Normal

พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้

Facebook ได้ทำการแพตช์แก้ไขให้ WhatsApp ที่ช่วยให้ผู้โจมตีสามารถอ่านไฟล์ระบบบนเครื่องเหยื่อได้ โดยกระทบกับผู้ใช้ Windows และ macOS

credit : Gal Weizman

CVE-2019-18428 (8.2/10) เป็นช่องโหว่ที่สามารถใช้ผ่านทางไกลได้แต่ต้องอาศัยการปฏิสัมพันธ์จากเหยื่อ โดยจาก Advisory ชี้ว่า “ช่องโหว่เกิดขึ้นเมื่อจับคู่ระหว่าง WhatsApp for iPhone และ WhatsApp Desktop ที่ทำให้เกิด XSS และ Local File Reading” ทั้งนี้เวอร์ชันของซอฟต์แวร์ WhatsApp Desktop ที่ได้รับผลกระทบคือก่อน 0.3.9309 เมื่อจับคู่กับ iPhone เวอร์ชันก่อน 2.20.10

Gal Weizman ผู้เชี่ยวชาญจาก PerimeterX ได้พบช่องว่างของ Content Security Policy (CSP) ของ WhatsApp ที่นำไปสู่การโจมตีแบบ XSS ต่อแอปบน Desktop ซึ่งแฮ็กเกอร์สามารถหลอกล่อเหยื่อเพื่อใช้ช่องโหว่ได้ด้วยการประดิษฐ์โค้ด JavaScript อันตรายและส่งไปหาเหยื่อให้คลิก นอกจากนี้ Weizman ยังได้สาธิตการใช้งานช่องโหว่ที่ช่วยให้เขาสามารถเข้าถึงไฟล์ C:\Windows\System32\drivers\etc\hosts ได้

ที่มา :   https://www.bleepingcomputer.com/news/security/whatsapp-bug-allowed-attackers-to-access-the-local-file-system/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee Web Security Gateway

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย McAfee Webinar เรื่อง “Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee …

[Video Webinar] พลิกโฉมสถาปัตยกรรม SD-WAN สู่ยุค Cloud ด้วย Dell EMC

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Geton Webinar เรื่อง “พลิกโฉมสถาปัตยกรรม SD-WAN สู่ยุค Cloud ด้วย Dell EMC” พร้อมเรียนรู้ข้อจำกัดของเทคโนโลยี WAN ในปัจจุบัน ทำไม …