国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一幅圖片值得一千個單詞，但是一個GIF值得一千幅圖片。如今，短循環(huán)剪輯，GIF隨處可見，在社交媒體上，在留言板上，在聊天中，可以幫助用戶完美表達(dá)自己的情緒，讓人發(fā)笑并重拾亮點。

但是，如果早上好，生日快樂或圣誕快樂的消息給人以純真的GIF問候，會破壞您的智能手機嗎？好吧，不再是一個理論上的想法了。WhatsApp最近在其Android應(yīng)用程序中修復(fù)了一個嚴(yán)重的安全漏洞，該漏洞在被發(fā)現(xiàn)后至少3個月未修復(fù)，并且如果被利用，可能會使遠(yuǎn)程黑客入侵Android設(shè)備并可能竊取文件和聊天記錄。

WhatsApp遠(yuǎn)程執(zhí)行代碼漏洞

該漏洞跟蹤為CVE-2019-11932，是一個雙重釋放內(nèi)存損壞的錯誤，它實際上并不存在于WhatsApp代碼本身中，而是存在于WhatsApp使用的開源GIF圖像解析庫中。

入侵whatsapp帳戶

該問題 由東方聯(lián)盟安全組織研究人員于今年5月發(fā)現(xiàn)，成功地導(dǎo)致了遠(yuǎn)程執(zhí)行代碼攻擊，攻擊者可以利用該應(yīng)用程序?qū)υO(shè)備具有的權(quán)限，在WhatsApp的上下文中在目標(biāo)設(shè)備上執(zhí)行任意代碼。

東方聯(lián)盟研究人員在接受電子郵件采訪時告訴《黑客新聞》：“有效載荷是在WhatsApp上下文中執(zhí)行的。因此，它有權(quán)讀取SDCard并訪問WhatsApp消息數(shù)據(jù)庫?！?/p>

“惡意代碼將具有WhatsApp擁有的所有權(quán)限，包括錄制音頻，訪問攝像頭，訪問文件系統(tǒng)，以及WhatsApp的沙箱存儲（包括受保護的聊天數(shù)據(jù)庫等）……”

WhatsApp RCE漏洞如何工作？

當(dāng)用戶在將任何媒體文件發(fā)送給他們的朋友或家人之前打開設(shè)備庫時，WhatsApp使用有問題的解析庫為GIF文件生成預(yù)覽。因此，需要注意的是，不會通過向受害者發(fā)送惡意GIF文件來觸發(fā)漏洞。相反，當(dāng)受害者本身只是在嘗試將任何媒體文件發(fā)送給某人時，僅打開WhatsApp Gallery Picker時便執(zhí)行該命令。

要利用此問題，攻擊者所需要做的就是通過任何在線通信渠道將特制的惡意GIF文件發(fā)送給目標(biāo)Android用戶，然后等待該用戶僅在WhatsApp中打開圖片庫。但是，如果攻擊者想通過諸如WhatsApp或Messenger的任何消息傳遞平臺將GIF文件發(fā)送給受害者，則他們需要將其作為文檔文件而不是媒體文件附件發(fā)送，因為這些服務(wù)使用的圖像壓縮會扭曲隱藏在圖像中的惡意有效載荷。

Web應(yīng)用防火墻

正如研究人員與《黑客新聞》分享的概念驗證視頻演示中所示，也可以利用此漏洞從受攻擊的設(shè)備遠(yuǎn)程彈出一個反向外殼。

易受攻擊的應(yīng)用程序，設(shè)備和可用補丁

該問題會影響在Android 8.1和9.0上運行的WhatsApp版本2.19.230和更早版本，但不適用于Android 8.0和更低版本?！霸谳^舊的Android版本中，仍然可以觸發(fā)雙重釋放。但是，由于雙重釋放后系統(tǒng)進行了malloc調(diào)用，因此該應(yīng)用程序崩潰了，直到達(dá)到我們可以控制PC寄存器的程度為止?！?/p>

除此之外，由于該漏洞存在于開放源代碼庫中，因此使用相同受影響庫的任何其他Android應(yīng)用也可能也容易受到類似攻擊。受影響的GIF庫（稱為Android GIF Drawable）的開發(fā)人員還發(fā)布了1.2.18版修補雙重釋放漏洞的軟件。iOS版WhatsApp不受此漏洞影響。（歡迎轉(zhuǎn)載分享）