WhatsApp, eski uygulama sürümlerinde kritik güvenlik açığını açıklıyor

/Uygulamanın daha yeni sürümlerinde yamalanan hata, bir saldırganın özel hazırlanmış bir görüntülü arama gönderdikten sonra kötü amaçlı kod yürütmesine izin verecek.

WhatsApp, uygulamanın daha yeni bir sürümünde yamalanan ancak güncellenmemiş eski yüklemeleri etkileyebilecek “kritik” bir güvenlik açığının ayrıntılarını yayınladı.

Ayrıntılar, WhatsApp’ın uygulamayı etkileyen güvenlik uyarıları sayfasının Eylül güncellemesinde açıklandı ve 23 Eylül’de gün ışığına çıktı.

Kritik hata, bir saldırganın tamsayı taşması olarak bilinen bir kod hatasından yararlanmasına ve özel hazırlanmış bir görüntülü arama gönderdikten sonra kurbanın akıllı telefonunda kendi kodunu yürütmesine izin verir. Uzaktan kod yürütme güvenlik açıkları, kötü amaçlı yazılım, casus yazılım veya diğer kötü amaçlı uygulamaları hedef sisteme yüklemede önemli bir adımdır, çünkü saldırganlara ayrıcalık yükseltme saldırıları gibi teknikleri kullanarak makineyi daha fazla tehlikeye atmak için kullanılabilecekleri kapıdan girerler .

Yakın zamanda açıklanan güvenlik açığına ulusal güvenlik açığı veritabanında CVE-2022-36934 kimlik numarası atanmış ve CVE ölçeğinde 10 üzerinden 9,8 önem puanı verilmiştir. Bu, mümkün olan en yüksek tehdit düzeyine eşittir: “kritik”.

Aynı güvenlik danışma güncellemesinde WhatsApp, saldırganların kötü amaçlı bir video dosyası gönderdikten sonra kod yürütmesine izin verecek başka bir güvenlik açığı olan CVE-2022-27492’nin ayrıntılarını da paylaştı. Bu güvenlik açığı 10 üzerinden 7,8 veya önem düzeyi “yüksek” olarak değerlendirildi.

Bu güvenlik açıklarının her ikisi de WhatsApp’ın yakın zamanda güncellenen sürümlerinde yamalanmıştır ve otomatik olarak güncellenecek şekilde ayarlanmış herhangi bir uygulama yüklemesinde (çoğu telefonda varsayılan ayar) zaten düzeltilmiş olmalıdır. Güvenlik danışma belgesine göre, güvenlik açıkları şunları etkiler:

v2.22.16.12 öncesi Android için WhatsApp
v2.22.16.12’den önceki Android için WhatsApp Business
v2.22.16.12 öncesi iOS için WhatsApp
iOS için WhatsApp Business v2.22.16.12 öncesi
Olası bilgisayar korsanlığı istismarlarına karşı korumanın yanı sıra, WhatsApp kurulumunuzu güncel tutmak için daha fazla neden var. Pazartesi günü şirket, kullanıcıların bir grup görüşmesine katılmak için tek tıklamayla bir bağlantı paylaşmasına izin verecek ve ayrıca 32 kişilik şifreli görüntülü sohbetlerin uygulanmasını test edecek yeni bir özelliği kullanıma sunduğunu duyurdu.

Kaynak: https://www.theverge.com/2022/9/27/23374468/whatsapp-bug-video-call-vulnerability-cve