修補的 WhatsApp 漏洞可能會暴露用戶數據

Check Point 的安全研究人員最近發布了有關 WhatsApp 中存在的漏洞的信息，該漏洞可能被利用來非法訪問敏感用戶信息。此問題已由 WhatsApp 修補，並不會影響該應用程序的當前版本，但 Check Point 剛剛發布了有關該問題的完整報告。

有問題的問題被編為 CVE-2020-1910，並被賦予了 7.8 的高基礎分數。 Check Point 研究人員將其描述為越界讀寫錯誤。該報告提供了有關如何利用該漏洞的更多詳細信息。

該錯誤與使用 WhatsApp 圖像過濾工具有關。雖然圍繞可利用漏洞的步驟和環境有點複雜，但它們可以在測試中輕鬆重現。

如果用戶打開惡意行為者發送的附件圖像，其中包含以惡意方式篡改的文件，例如格式錯誤的 gif，然後應用應用程序的圖像過濾器之一，最後將圖像發回，這可能導致到數據暴露。

該應用程序在處理原始圖像和目標圖像時不進行格式檢查，並且可能會因使用格式錯誤的圖像文件而導致崩潰。

Check Point 早在 2020 年 11 月就報告了該問題，並且早已由 WhatsApp 修補，WhatsApp 在 2021 年初發布的公司安全諮詢報告中提到了該問題。

此漏洞凸顯了將您保存在您擁有的任何設備上的每個應用程序更新到其最新版本的重要性。當應用程序像 WhatsApp 一樣流行，在全球擁有數十億用戶時， 犯罪分子利用類似問題和零日漏洞並從應用程序用戶群的一小部分中收集大量數據的可能性是相當大的。

從版本 2.21.2.13 及更高版本開始，WhatsApp 中已修復漏洞 CVE-2020-1910。