A principios de octubre, se descubrió un grave fallo (CVE-2019-11932) en Whatsapp con ciertas particularidades.
Se originaba en el código de una librería de código abierto de tratamiento de GIFs. Fue descubierta en mayo.
Lo verdaderamente complejo era la explotación, que entraña conseguir ejecución a partir de una doble liberación de un búfer.
No se aprovecha el fallo por enviar un GIF, sino al abrir la galería de WhatsApp. Y la ejecución heredaría todos los permisos de la aplicación vulnerable.
Luego Whatsapp sufriría otro grave problema de seguridad.
La popularidad de Whatsapp ocultó que esa librería, libpl_droidsonroids_gif.so, está presente en muchas otras apps muy populares sobre las que no se ha puesto el foco pero que podrían no haberse actualizado tanto en su versión oficial como a nivel de usuario y por lo que merece la pena recordarlo.
La lista cuenta con casi 30.000 apps con la librería a las que al menos habría que prestar especial atención para saber si han actualizado.
Entre las apps se encuentra Viber, Wattpad, Instagram...
La lista completa está en apartado de más información:
Más información: https://gist.github.com/wdormann/874198c1bd29c7dd2157d9fc1d858263
No hay comentarios:
Publicar un comentario
Gracias por su comentario,