修补的 WhatsApp 漏洞可能会暴露用户数据

Check Point 的安全研究人员最近发布了有关 WhatsApp 中存在的漏洞的信息，该漏洞可能被利用来非法访问敏感用户信息。此问题已由 WhatsApp 修补，并不会影响该应用程序的当前版本，但 Check Point 刚刚发布了有关该问题的完整报告。

有问题的问题被编为 CVE-2020-1910，并被赋予了 7.8 的高基础分数。 Check Point 研究人员将其描述为越界读写错误。该报告提供了有关如何利用该漏洞的更多详细信息。

该错误与使用 WhatsApp 图像过滤工具有关。虽然围绕可利用漏洞的步骤和环境有点复杂，但它们可以在测试中轻松重现。

如果用户打开恶意行为者发送的附件图像，其中包含以恶意方式篡改的文件，例如格式错误的 gif，然后应用应用程序的图像过滤器之一，最后将图像发回，这可能导致到数据暴露。

该应用程序在处理原始图像和目标图像时不进行格式检查，并且可能会因使用格式错误的图像文件而导致崩溃。

Check Point 早在 2020 年 11 月就报告了该问题，并且早已由 WhatsApp 修补，WhatsApp 在该公司于 2021 年初发布的安全咨询报告中提到了该问题。

此漏洞凸显了将您保存在您拥有的任何设备上的每个应用程序更新到其最新版本的重要性。当应用程序像 WhatsApp 一样流行，在全球拥有数十亿用户时， 犯罪分子利用类似问题和零日漏洞并从应用程序用户群的一小部分中收集大量数据的可能性是相当大的。

从版本 2.21.2.13 及更高版本开始，WhatsApp 中已修复漏洞 CVE-2020-1910。