一位独立研究员Indrajeet Bhuyan报告了存在于WhatsApp中的一个新漏洞,通过利用该漏洞,任何人都可以远程使WhatsApp崩溃,而他们需要做的仅仅是向目标用户发送将近4000个表情符号。该漏洞影响全球约10亿WhatsApp用户。
Bhuyan去年报告了WhatsApp的一个崩溃漏洞,该漏洞只需要将2000个单词(2kb大小)的特殊字符消息发送到对方,这样就能远程崩溃WhatsApp应用程序。在这一发现后,通过设置WhatsApp短消息中的字符数限制,该公司修复了这个漏洞。然而不幸的是,那次修复却未能限制WhatsApp消息中笑脸表情符号的数量。
Bhuyan在他的博文中写道:“在WhatsApp Web中,WhatsApp允许65500—6600个字符,但在输入约4200—4400个表情时,浏览器反应开始变慢。但是,由于当前消息数量尚未达到其限制,所以WhatsApp仍然允许继续插入,当它收到更多表情符号时,就会造成缓冲区溢出并最终崩溃。”
最近,通过在多个不同品牌的安卓设备上测试该漏洞,最终都成功使WhatsApp崩溃:1、WhatsApp运行的安卓系统版本包括Marshmallow(6.0)、Lollipop(5.0)和Kitkat(4.4)。2、WhatsApp Web版本,针对Chrome、Opera和Firefox浏览器。确定的是,最新版本的WhatsApp仍然受这个漏洞的影响。
根据Bhuyan透露,他已经将此WhatsApp崩溃漏洞报告给了Facebook。
在今年年初,Bhuyan还报告了两个单独的漏洞,WhatsApp照片隐私漏洞和WhatsApp Web照片同步漏洞,以某种方式能够暴露用户隐私。
Bhuyan去年报告了WhatsApp的一个崩溃漏洞,该漏洞只需要将2000个单词(2kb大小)的特殊字符消息发送到对方,这样就能远程崩溃WhatsApp应用程序。在这一发现后,通过设置WhatsApp短消息中的字符数限制,该公司修复了这个漏洞。然而不幸的是,那次修复却未能限制WhatsApp消息中笑脸表情符号的数量。
Bhuyan在他的博文中写道:“在WhatsApp Web中,WhatsApp允许65500—6600个字符,但在输入约4200—4400个表情时,浏览器反应开始变慢。但是,由于当前消息数量尚未达到其限制,所以WhatsApp仍然允许继续插入,当它收到更多表情符号时,就会造成缓冲区溢出并最终崩溃。”
最近,通过在多个不同品牌的安卓设备上测试该漏洞,最终都成功使WhatsApp崩溃:1、WhatsApp运行的安卓系统版本包括Marshmallow(6.0)、Lollipop(5.0)和Kitkat(4.4)。2、WhatsApp Web版本,针对Chrome、Opera和Firefox浏览器。确定的是,最新版本的WhatsApp仍然受这个漏洞的影响。
根据Bhuyan透露,他已经将此WhatsApp崩溃漏洞报告给了Facebook。
在今年年初,Bhuyan还报告了两个单独的漏洞,WhatsApp照片隐私漏洞和WhatsApp Web照片同步漏洞,以某种方式能够暴露用户隐私。
还没有评论,来说两句吧...