พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้

Facebook ได้ทำการแพตช์แก้ไขให้ WhatsApp ที่ช่วยให้ผู้โจมตีสามารถอ่านไฟล์ระบบบนเครื่องเหยื่อได้ โดยกระทบกับผู้ใช้ Windows และ macOS

CVE-2019-18428 (8.2/10) เป็นช่องโหว่ที่สามารถใช้ผ่านทางไกลได้แต่ต้องอาศัยการปฏิสัมพันธ์จากเหยื่อ โดยจาก Advisory ชี้ว่า “ช่องโหว่เกิดขึ้นเมื่อจับคู่ระหว่าง WhatsApp for iPhone และ WhatsApp Desktop ที่ทำให้เกิด XSS และ Local File Reading” ทั้งนี้เวอร์ชันของซอฟต์แวร์ WhatsApp Desktop ที่ได้รับผลกระทบคือก่อน 0.3.9309 เมื่อจับคู่กับ iPhone เวอร์ชันก่อน 2.20.10

Gal Weizman ผู้เชี่ยวชาญจาก PerimeterX ได้พบช่องว่างของ Content Security Policy (CSP) ของ WhatsApp ที่นำไปสู่การโจมตีแบบ XSS ต่อแอปบน Desktop ซึ่งแฮ็กเกอร์สามารถหลอกล่อเหยื่อเพื่อใช้ช่องโหว่ได้ด้วยการประดิษฐ์โค้ด JavaScript อันตรายและส่งไปหาเหยื่อให้คลิก นอกจากนี้ Weizman ยังได้สาธิตการใช้งานช่องโหว่ที่ช่วยให้เขาสามารถเข้าถึงไฟล์ C:\Windows\System32\drivers\etc\hosts ได้

ที่มา :   https://www.bleepingcomputer.com/news/security/whatsapp-bug-allowed-attackers-to-access-the-local-file-system/