Whatsapp ha publicado actualizaciones de seguridad que abordan 6 vulnerabilidades, 4 de ellas de riesgo alto y 2 de riesgo medio, que afectan a diversas versiones de WhatsApp (ver en versiones afectadas) Estos fallos en las aplicaciones, podrían permitir a un atacante realizar diversas acciones maliciosas, como por ejemplo: ejecutar programas maliciosos (comprometer el sistema afectado y tomar provecho posibles vulnerabilidades del dispositivo), escalar privilegios (para tomar el control del sistema sin el consentimiento de la víctima, para ejecutar otras acciones) y realizar ataques de denegación de servicios (DoS) (para dejar no disponible el acceso a la aplicación) mediante videollamadas o mensajes maliciosos especialmente diseñados.
Versiones Afectadas:
- WhatsApp para Android en versiones anteriores a la 2.20.35;
- WhatsApp Business para Android en versiones anteriores a la 2.20.20;
- WhatsApp para iOS en versiones anteriores a la 2.20.30;
- WhatsApp Business para iOS en versiones anteriores a la 2.20.30;
- WhatsApp Desktop versiones anteriores a la 0.493.
A continuación se describe en forma breve los detalles técnicos de cada uno:
Vulnerabilidades de riesgo alto:
La falla identificada con el CVE-2020-1894, podría permitir a un atacante remoto ejecutar código malicioso en el sistema afectado, cuando una víctima reproduzca un mensaje de voz diseñado maliciosamente. Este fallo afecta a:
- WhatsApp para Android en versiones anteriores a la 2.20.35,
- WhatsApp Business para Android en versiones anteriores a la 2.20.20,
- WhatsApp para iOS en versiones anteriores a la 2.20.30 y
- WhatsApp Business para iOS en versiones anteriores a la 2.20.30.
La falla identificada con el CVE-2020-1891, se da debido a que un parámetro controlado por el usuario durante las videollamadas podría permitir una escritura fuera de límites, permitiendo a un atacante remoto bloquear la aplicación afectada mediante ataques de denegación de servicio (DoS). Afecta a:
- WhatsApp para Android en versiones anteriores a la 2.20.17,
- WhatsApp Business para Android en versiones anteriores a la 2.20.7,
- WhatsApp para iOS en versiones anteriores a la 2.20.20, y
- WhatsApp Business para iOS en versiones anteriores a la 2.20.20;
Por otro lado, el fallo identificado con el CVE-2020-1890, se da debido a un problema de validación de URL y podría permitir a un atacante remoto enviar un mensaje de tipo “sticker” con datos malformados a una víctima, para que cuando ésta lo reciba, la imagen de una URL controlada por el atacante sea cargada sin interacción alguna por parte de la víctima. Afecta a:
- WhatsApp para Android en versiones anteriores a la 2.20.11 y
- WhatsApp Business para Android en versiones anteriores a la 2.20.2
Finalmente, el CVE-2020-1886, se da debido a una escritura fuera de los límites durante una transmisión de video. Un atacante remoto podría explotar exitosamente este fallo realizando una videollamada maliciosa a la víctima y provocar el fallo a través de una transmisión de video especialmente diseñada, llevando a posibles bloqueos de la aplicación.Afecta a:
- WhatsApp para Android en versiones anteriores a la 2.20.11 y
- WhatsApp Business para Android en versiones anteriores a la 2.20.2;
Vulnerabilidades de riesgo medio:
El CVE-2020-1889, afecta a WhatsApp Desktop en versiones anteriores a la 0.493 y se da debido a un problema de omisión de las funciones de seguridad. La explotación exitosa de este fallo permitiría a un atacante remoto obtener privilegios adicionales en la aplicación.
Mientras que el CVE-2019-11928, afecta a WhatsApp Desktop en versiones anteriores a la 0.3.4932; y se da debido a un error de validación de datos proporcionados por un usuario. Un atacante remoto podría aprovechar este fallo convenciendo a la víctima para que ingrese a un enlace de un mensaje de ubicación en vivo, y de tener éxito inyectar código malicioso.
Recomendaciones:
Actualizar las aplicaciones afectadas, a las últimas versiones disponibles, en este caso:
- WhatsApp para Android, a la versión 2.20.198.15, desde la Google Play Store;
- WhatsApp Business para Android, a la versión 2.20.198.15, desde la Google Play Store;
- WhatsApp para iOS, a la versión 2.20.92, desde la App Store;
- WhatsApp Business para iOS, a la versión 2.20.92, desde la App Store;
- WhatsApp Desktop, a la versión 2.2035.15, desde la página oficial de WhatsApp.
Referencias: