Seguridad

Ejecución de código arbitrario en WhatsApp

Se ha publicado una vulnerabilidad en WhatsApp que podría permitir la ejecución de código arbitrario en el dispositivo objetivo.

WhatsApp es un cliente de mensajería instantánea enfocado a dispositivos móviles disponible para múltiples plataformas. Permite el intercambio de cualquier fichero y actualmente es una de las aplicaciones de mensajería instantánea más utilizadas en el mundo, sino la que más.

La vulnerabilidad ha sido descubierta por un investigador que se hace llamar ‘Awakened’, se le ha asignado el identificador CVE-2019-11932 y sólo afecta a las aplicaciones de los dispositivos Android.

El error está localizado en la función ‘DDGifSlurp’ localizada en el fichero ‘decoding.c’ existente en la librería ‘libpl_droidsonroids_gif , y puede reproducirse al leer un fichero ‘Gif’ especialmente manipulado. Esto quiere decir que con solo cargar la miniatura del gif es suficiente. Es preocupante porque al abrir el explorador de archivos que muestran las miniaturas de las imágenes puede ser suficiente para reproducir la vulnerabilidad.

La vulnerabilidad es producida por un error al leer en el puntero ‘rasterBits’ de la estructura ‘GifInfo’ que podría permitir liberacíon de memoria previamente descartada pudiendo permitir la ejecución de código arbitrario en el dispositivo objetivo. Esto puede ir desde la lectura de las conversaciones de WhatsApp hasta la lectura de cualquier fichero existente en el sistema.

La vulnerabilidad ha sido confirmada por Facebook y ya ha sido corregida en la versión 2.19.244 o posterior.

Más información:

How a double-free bug in WhatsApp turns to RCE
https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/

Confirmación de Facebook
https://www.facebook.com/security/advisories/cve-2019-11932

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.