Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メッセージアプリ「WhatsApp」に情報漏洩の脆弱性

Facebook傘下のWhatsAppが提供するメッセージアプリ「WhatsApp」に細工したメッセージでローカルファイルを読み取られるおそれがある脆弱性が明らかとなった。

同アプリにおいてクロスサイトスクリプティングが可能となる脆弱性「CVE-2019-18426」が1月21日に公表されたもの。

iPhone版とデスクトップ版を組み合わせて利用している場合に影響があり、細工されたメッセージのリンクをプレビューするとローカルファイルを読み取られるおそれがあるという。

共通脆弱性評価システムであるCVSSv3.1における基本スコアは「8.2」で、重要度は「高(High)」。同社は12月から1月にかけてデスクトップ版「同0.3.9309」とiPhone版「同2.20.10」をリリース。すでに脆弱性へ対処しているが、リリース時に脆弱性の修正については言及していなかった。

今回公表された脆弱性との関連性は不明だが、同脆弱性のアナウンスが行われた翌22日、国連人権理事会の特別報告者が、「WhatsApp」経由で送付されたメッセージを介してAmazonのCEOであるJeffery Bezos氏のiPhoneがマルウェアによって侵害されたとする発表を行っている。

(Security NEXT - 2020/02/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部ネットワーク機器に「DDoS攻撃」や「アクセス制御回避」の脆弱性
原子力規制庁でメール誤送信 - 在宅勤務職員の個人メアド誤り第三者へ
契約社員の個人情報が委託先で所在不明 - 電通
端末状況を可視化する「コンプライアンス調査サービス」
高校で生徒と保護者の個人情報含む書類を誤配布 - 大阪市
WatchGuard、Panda Securityの買収を完了
Wi-Fi利用者や提供者向けセキュガイドラインに改訂版 - 総務省
自宅で個人情報を保持して外部漏洩、職員を懲戒免職 - 弘前市
macOSにアップデート - iOS脆弱性の修正とあわせて公開
マスク販売の当選メールで宛先が流出 - プログラム不具合で