Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de WhatsApp respecto a 6 vulnerabilidades graves que afectan a la aplicación de mensajería instantánea. El presente informe incluye medidas de mitigación.
Vulnerabilidades
CVE-2020-1894
CVE-2020-1891
CVE-2020-1890
CVE-2020-1889
CVE-2020-1886
CVE-2019-11928
CVE-2020-1894
Una vulnerabilidad de tipo desbordamiento de la pila en escritura podría permitir la ejecución de código arbitrario al apretar un botón de enviar audios especialmente diseñado.
Productos Afectados
WhatsApp para Android versiones anteriores a la 2.20.35.
WhatsApp Business para Android versiones anteriores a la 2.20.20.
WhatsApp para iPhone versiones anteriores a la 2.20.30.
WhatsApp Business para iPhone versiones anteriores a la 2.20.30.
Mitigaciones
Actualizar la aplicación a la última versión disponible por el fabricante.
Enlaces
https://www.whatsapp.com/security/advisories/2020/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1894
CVE-2020-1891
Un parámetro controlable por usuarios usado en videollamadas de WhatsApp podría permitir un error en memoria fuera de los límites en dispositivos 32-bit.
Productos Afectados
WhatsApp para Android versiones anteriores a la 2.20.17.
WhatsApp Business para Android versiones anteriores a la 2.20.07.
WhatsApp para iPhone versiones anteriores a la 2.20.20.
WhatsApp Business para iPhone versiones anteriores a la 2.20.20.
Mitigaciones
Actualizar la aplicación a la última versión disponible por el fabricante.
Enlaces
https://www.whatsapp.com/security/advisories/2020/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1891
CVE-2020-1890
Un problema de validación de URL podría causar al receptor de un mensaje con sticker que contenga datos deliberadamente mal formados, cargar una imagen desde la URL controlada por quien envía sin participación del usuario que recibe.
Productos Afectados
WhatsApp para Android versiones anteriores a la 2.20.11.
WhatsApp Business para Android versiones anteriores a la 2.20.2.
Mitigaciones
Actualizar la aplicación a la última versión disponible por el fabricante.
Enlaces
https://www.whatsapp.com/security/advisories/2020/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1890
CVE-2020-1889
Una vulnerabilidad de evasión de medidas de seguridad podría permitir escapar del Sandbox en “Electron” y al escalación de privilegios si se combina con una vulnerabilidad de ejecución de código remoto adentro del procesos de renderizado del sandbox.
Productos Afectados
WhatsApp para Escritorio versiones anteriores a la 0.3.4932.
Mitigaciones
Actualizar la aplicación a la última versión disponible por el fabricante.
Enlaces
https://www.whatsapp.com/security/advisories/2020/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1889
CVE-2020-1886
Una vulnerabilidad de desbordamiento del buffer podría permitir la escritura fuera de los límites a través de un video stream especialmente diseñada después de recibir y contestar una videollamada maliciosa.
Productos Afectados
WhatsApp para Android versiones anteriores a la 2.20.11.
WhatsApp Business para Android versiones anteriores a la 2.20.2.
Mitigaciones
Actualizar la aplicación a la última versión disponible por el fabricante.
Enlaces
https://www.whatsapp.com/security/advisories/2020/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1886
CVE-2019-11928
Un problema de validación de datos ingresados por el usuario en WhatsApp podría permitir un ataque XSS (Cross-site Scripting) al cliquear en un enlace desde un mensaje de locación directa especialmente diseñado.
Productos Afectados
WhatsApp para Escritorio versiones anteriores a la 0.3.4932.
Mitigaciones
Actualizar la aplicación a la última versión disponible por el fabricante.
Enlaces
https://www.whatsapp.com/security/advisories/2020/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-119
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00294-01