Ejecución de código arbitrario en WhatsApp

TEAM CSIRT

Hacker News reporta vulnerabilidad alta que permite ejecución de código arbitrario vía WhatsApp en dispositivos móviles de la plataforma Android.

WhatsApp es un cliente de mensajería instantánea enfocado a dispositivos móviles disponible para múltiples plataformas. Permite el intercambio de cualquier fichero y actualmente es una de las aplicaciones de mensajería instantánea más utilizadas en el mundo, sino la que más.

La vulnerabilidad ha sido descubierta por un investigador que se hace llamar ‘Awakened’, se le ha asignado el identificador CVE-2019-11932 y sólo afecta a las aplicaciones de los dispositivos Android.

El error está localizado en la función ‘DDGifSlurp’ localizada en el fichero ‘decoding.c’ existente en la librería ‘libpl_droidsonroids_gif , y puede reproducirse al leer un fichero ‘Gif’ especialmente manipulado. Esto quiere decir que con solo cargar la miniatura del gif es suficiente. Es preocupante porque al abrir el explorador de archivos que muestran las miniaturas de las imágenes puede ser suficiente para reproducir la vulnerabilidad.

La vulnerabilidad es producida por un error al leer en el puntero ‘rasterBits’ de la estructura ‘GifInfo’ que podría permitir liberacíon de memoria previamente descartada pudiendo permitir la ejecución de código arbitrario en el dispositivo objetivo. Esto puede ir desde la lectura de las conversaciones de WhatsApp hasta la lectura de cualquier fichero existente en el sistema.

La vulnerabilidad ha sido confirmada por Facebook y ya ha sido corregida en la versión 2.19.244 o posterior.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, el de nuestros clientes y el de nuestra infraestructura, informa que la vulnerabilidad es corregida en la versión 2.19.244 de WhatsApp, sin embargo se recomienda actualizar WhatsApp a su última versión disponible en Google Play Store.


Para mayor información sobre la vulnerabilidad descrit, consultar el siguiente enlace: