Cabecera-v2-web.jpg

WhatsApp lanza actualizaciones de seguridad que abordan vulnerabilidades de riesgo alto y medio


Whatsapp ha publicado actualizaciones de seguridad que abordan 6 vulnerabilidades, 4 de ellas de riesgo alto y 2 de riesgo medio, que afectan a diversas versiones de WhatsApp (ver en versiones afectadas) Estos fallos en las aplicaciones, podrían permitir a un atacante realizar diversas acciones maliciosas, como por ejemplo: ejecutar programas maliciosos (comprometer el sistema afectado y tomar provecho posibles vulnerabilidades del dispositivo), escalar privilegios (para tomar el control del sistema sin el consentimiento de la víctima, para ejecutar otras acciones) y realizar ataques de denegación de servicios (DoS) (para dejar no disponible el acceso a la aplicación) mediante videollamadas o mensajes maliciosos especialmente diseñados.

Versiones Afectadas:

  • WhatsApp para Android en versiones anteriores a la 2.20.35;
  • WhatsApp Business para Android en versiones anteriores a la 2.20.20;
  • WhatsApp para iOS en versiones anteriores a la 2.20.30;
  • WhatsApp Business para iOS en versiones anteriores a la 2.20.30;
  • WhatsApp Desktop versiones anteriores a la 0.493.

A continuación se describe en forma breve los detalles técnicos de cada uno:

Vulnerabilidades de riesgo alto:

La falla identificada con el CVE-2020-1894, podría permitir a un atacante remoto ejecutar código malicioso en el sistema afectado, cuando una víctima reproduzca un mensaje de voz diseñado maliciosamente. Este fallo afecta a:

  • WhatsApp para Android en versiones anteriores a la 2.20.35,
  • WhatsApp Business para Android en versiones anteriores a la 2.20.20,
  • WhatsApp para iOS en versiones anteriores a la 2.20.30 y
  • WhatsApp Business para iOS en versiones anteriores a la 2.20.30.

La falla identificada con el CVE-2020-1891, se da debido a que un parámetro controlado por el usuario durante las videollamadas podría permitir una escritura fuera de límites, permitiendo a un atacante remoto bloquear la aplicación afectada mediante ataques de denegación de servicio (DoS). Afecta a:

  • WhatsApp para Android en versiones anteriores a la 2.20.17,
  • WhatsApp Business para Android en versiones anteriores a la 2.20.7,
  • WhatsApp para iOS en versiones anteriores a la 2.20.20, y
  • WhatsApp Business para iOS en versiones anteriores a la 2.20.20;

Por otro lado, el fallo identificado con el CVE-2020-1890, se da debido a un problema de validación de URL y podría permitir a un atacante remoto enviar un mensaje de tipo “sticker” con datos malformados a una víctima, para que cuando ésta lo reciba, la imagen de una URL controlada por el atacante sea cargada sin interacción alguna por parte de la víctima. Afecta a:

  • WhatsApp para Android en versiones anteriores a la 2.20.11 y
  • WhatsApp Business para Android en versiones anteriores a la 2.20.2

Finalmente, el CVE-2020-1886, se da debido a una escritura fuera de los límites durante una transmisión de video. Un atacante remoto podría explotar exitosamente este fallo realizando una videollamada maliciosa a la víctima y provocar el fallo a través de una transmisión de video especialmente diseñada, llevando a posibles bloqueos de la aplicación.Afecta a:

  • WhatsApp para Android en versiones anteriores a la 2.20.11 y
  • WhatsApp Business para Android en versiones anteriores a la 2.20.2;


Vulnerabilidades de riesgo medio:

El CVE-2020-1889, afecta a WhatsApp Desktop en versiones anteriores a la 0.493 y se da debido a un problema de omisión de las funciones de seguridad. La explotación exitosa de este fallo permitiría a un atacante remoto obtener privilegios adicionales en la aplicación.

Mientras que el CVE-2019-11928, afecta a WhatsApp Desktop en versiones anteriores a la 0.3.4932; y se da debido a un error de validación de datos proporcionados por un usuario. Un atacante remoto podría aprovechar este fallo convenciendo a la víctima para que ingrese a un enlace de un mensaje de ubicación en vivo, y de tener éxito inyectar código malicioso.

Recomendaciones:

Actualizar las aplicaciones afectadas, a las últimas versiones disponibles, en este caso:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11