В WhatsApp для Android найдена уязвимость, позволяющая выполнить код

Олег Иванов 03 Октября 2019 - 12:47

Домашние пользователи

...

Исследователь в области кибербезопасности обнаружил уязвимость в приложении мессенджера WhatsApp для системы Android. В случае успешной эксплуатации атакующий может выполнить произвольный код на целевом устройстве.

За информацию о проблеме безопасности стоит благодарить эксперта, известного под псевдонимом Awakened. Awakened оперативно отправил представителям Facebook все технические детали бреши, что позволило разработчикам устранить дыру с выходом WhatsApp версии 2.19.244.

По словам исследователя, уязвимость крылась в библиотеке, отвечающей за создание предварительного просмотра (превью) GIF-файлов. Брешь можно было использовать в момент, когда пользователь открывал галерею из самого приложения WhatsApp, чтобы отправить медиафайл.

«Когда у пользователя открыта галерея WhatsApp, упомянутый GIF-файл может задействовать баг буфера rasterBits. Примечательно, что в галерее WhatsApp файл GIF парсится дважды. При повторном парсинге файла создаётся ещё один объект GifInfo», — гласит разбор уязвимости, опубликованный Awakened.

Эксперту удалось создать специальный файл в формате GIF, который посодействовал удаленному выполнению кода. Более того, Awakened написал код, способный сгенерировать GIF-файл для эксплуатации обнаруженной бреши.

Затем исследователь скопировал содержимое GIF-файла и отправил его в виде документа другому пользователю WhatsApp. По словам Awakened, созданный им файл GIF нельзя послать как медиафайл, потому что мессенджер пытается его конвертировать в MP4.

Уязвимость задействуется в том случае, когда атакуемый пользователь, получивший вредоносный GIF-файл, откроет галерею WhatsApp, чтобы отправить файл кому-нибудь из своих знакомых.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Марта 2026 - 16:40

Уязвимости программ Домашние пользователи Корпорации

Telegram получил четыре месяца на исправление критической уязвимости

У разработчиков Telegram появился очень неприятный повод для срочного патчинга. В списке проекта Zero Day Initiative появилась запись ZDI-CAN-30207 для Telegram с 9,8 балла из 10 по CVSS. Уязвимость, как указано в карточке, была передана вендору 26 марта 2026 года, а дедлайн для публичного раскрытия назначен на 24 июля 2026 года.

Исследователем значится Michael DePlante (@izobashi) из проекта TrendAI Zero Day Initiative.

Самое важное здесь то, что технических подробностей пока нет. ZDI обычно не раскрывает механику таких находок до тех пор, пока у вендора есть время на выпуск патча.

Поэтому громкие формулировки про «тотальный взлом» или уже идущие массовые атаки сейчас были бы преувеличением: на данный момент публично подтверждено только существование записи о критической уязвимости и окно, отведённое Telegram на устранение.

Тем не менее сама оценка в 9,8 балла выглядит очень серьёзно. В карточке используется вектор AV:N/AC:L/PR:N/UI:N, а это значит, что речь идёт об удалённой атаке с низкой сложностью, которая допускается без привилегий и без участия пользователя.

Проще говоря, если эта оценка подтвердится после публикации полного отчёта, проблема действительно может оказаться из категории самых опасных.

Пока Telegram публично, по доступным данным, эту находку не комментировал. На официальных новостных страницах мессенджера свежего сообщения именно по ZDI-CAN-30207 сейчас не видно.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!