メッセンジャーアプリ「WhatsApp」にRCE脆弱性 - iOS版に影響
Facebook傘下のWhatsAppが提供するメッセンジャーアプリ「WhatsApp」のiOS版に深刻な脆弱性が含まれていることがわかった。脆弱性へ対処したアップデートが提供されている。
iOS向けに提供している「WhatsApp」「WhatsApp Business」において、解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2020-1909」や認証の回避が可能となる「CVE-2020-1908」が明らかとなったもの。
「CVE-2020-1909」は、ログの記録に用いるライブラリに起因する脆弱性。ビデオ通話を保留中にアニメーションステッカーを受信するなど特定条件が揃った際に影響があり、悪用されるとメモリ破壊が生じてクラッシュし、コードを実行されるおそれがある。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」、「クリティカル(Critical)」とレーティングされている。
また「CVE-2020-1908」では、画面がロックされた状態においても、「Siri」を使用して同アプリにアクセスが可能となるという。「NVD」による「CVSS」のスコアは提供されていない。
同社はこれら脆弱性の判明を受けて、脆弱性を修正した「同2.20.120」をリリースした。
(Security NEXT - 2020/11/09 )
ツイート
関連リンク
PR
関連記事
Fortinet、「FortiOS」に関する複数の脆弱性を解消
「FortiSIEM」に深刻なRCE脆弱性 - 実用的な悪用コードも
オンライン会議ツール「Zoom」に「クリティカル」脆弱性
米当局、「IE」「Excel」「WinRAR」の脆弱性悪用に注意喚起
「Chrome」にアップデート - 6件のセキュリティ修正
Adobe、13製品にセキュリティパッチ - 脆弱性68件に対応
MS、8月の月例セキュリティ更新で100件以上の脆弱性に対応
「WinRAR」に深刻な脆弱性 - ゼロデイ攻撃で判明
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
Omnissaのメールセキュリティ製品にSSRFの脆弱性 - アップデートが公開