9VSA20-00294-01 CSIRT comparte actualizaciones de WhatsApp

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de WhatsApp respecto a 6 vulnerabilidades graves que afectan a la aplicación de mensajería instantánea. El presente informe incluye medidas de mitigación.

Vulnerabilidades

CVE-2020-1894

CVE-2020-1891

CVE-2020-1890

CVE-2020-1889

CVE-2020-1886

CVE-2019-11928

 

CVE-2020-1894

Una vulnerabilidad de tipo desbordamiento de la pila en escritura podría permitir la ejecución de código arbitrario al apretar un botón de enviar audios especialmente diseñado.

Productos Afectados

WhatsApp para Android versiones anteriores a la 2.20.35.

WhatsApp Business para Android versiones anteriores a la 2.20.20.

WhatsApp para iPhone versiones anteriores a la 2.20.30.

WhatsApp Business para iPhone versiones anteriores a la 2.20.30.

Mitigaciones

Actualizar la aplicación a la última versión disponible por el fabricante.

Enlaces

https://www.whatsapp.com/security/advisories/2020/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1894

CVE-2020-1891

Un parámetro controlable por usuarios usado en videollamadas de WhatsApp podría permitir un error en memoria fuera de los límites en dispositivos 32-bit.

Productos Afectados

WhatsApp para Android versiones anteriores a la 2.20.17.

WhatsApp Business para Android versiones anteriores a la 2.20.07.

WhatsApp para iPhone versiones anteriores a la 2.20.20.

WhatsApp Business para iPhone versiones anteriores a la 2.20.20.

Mitigaciones

Actualizar la aplicación a la última versión disponible por el fabricante.

Enlaces

https://www.whatsapp.com/security/advisories/2020/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1891

CVE-2020-1890

Un problema de validación de URL podría causar al receptor de un mensaje con sticker que contenga datos deliberadamente mal formados, cargar una imagen desde la URL controlada por quien envía sin participación del usuario que recibe.

Productos Afectados

WhatsApp para Android versiones anteriores a la 2.20.11.

WhatsApp Business para Android versiones anteriores a la 2.20.2.

Mitigaciones

Actualizar la aplicación a la última versión disponible por el fabricante.

Enlaces

https://www.whatsapp.com/security/advisories/2020/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1890

CVE-2020-1889

Una vulnerabilidad de evasión de medidas de seguridad podría permitir escapar del Sandbox en “Electron” y al escalación de privilegios si se combina con una vulnerabilidad de ejecución de código remoto adentro del procesos de renderizado del sandbox.

Productos Afectados

WhatsApp para Escritorio versiones anteriores a la 0.3.4932.

Mitigaciones

Actualizar la aplicación a la última versión disponible por el fabricante.

Enlaces

https://www.whatsapp.com/security/advisories/2020/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1889

CVE-2020-1886

Una vulnerabilidad de desbordamiento del buffer podría permitir la escritura fuera de los límites a través de un video stream especialmente diseñada después de recibir y contestar una videollamada maliciosa.

Productos Afectados

WhatsApp para Android versiones anteriores a la 2.20.11.

WhatsApp Business para Android versiones anteriores a la 2.20.2.

Mitigaciones

Actualizar la aplicación a la última versión disponible por el fabricante.

Enlaces

https://www.whatsapp.com/security/advisories/2020/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1886

CVE-2019-11928

Un problema de validación de datos ingresados por el usuario en WhatsApp podría permitir un ataque XSS (Cross-site Scripting) al cliquear en un enlace desde un mensaje de locación directa especialmente diseñado.

Productos Afectados

WhatsApp para Escritorio versiones anteriores a la 0.3.4932.

Mitigaciones

Actualizar la aplicación a la última versión disponible por el fabricante.

Enlaces

https://www.whatsapp.com/security/advisories/2020/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-119

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00294-01

9VSA20-00294-01 CSIRT comparte actualizaciones de WhatsApp