WhatsApp и BlueJeans уязвимы из-за библиотеки PJSIP

WhatsApp и BlueJeans уязвимы из-за библиотеки PJSIP

В популярной библиотеке PJSIP с открытым исходным кодом нашли несколько багов, которые затрагивают целый ряд приложения для IP-телефонии (VoIP). Среди уязвимого софта можно выделить WhatsApp и BlueJeans.

Библиотека PJSIP, предназначенная для мультимедийных коммуникаций, также используется корпоративным PBX-тулкитом Asterisk, без которого не обходится множество имплементаций VoIP-сервисов.

Если верить статистике на официальном сайте Asterisk, этот софт ежегодно скачивают 2 млн пользователей, он работает на 1 млн серверов в 170 странах. Именно за счёт Asterisk работают VoIP-шлюзы и конференц-серверы, которые используются малым и средним бизнесом, колл-центрами и т. п.

Специалисты JFrog Security на этой неделе рассказали о целых пяти уязвимостях в PJSIP, приводящих к повреждению памяти. Условный атакующий с помощью эксплойта может выполнить код удалённо на уровне приложения, использующего библиотеку PJSIP.

Три из пяти выявленных уязвимостей получили 8,1 балла по шкале CVSS, ещё две — 5,9 балла. Первая группа приводит к выполнению кода, вторая — к отказу в обслуживании. RCE-баги существуют из-за возможности переполнения стека, а DoS-бреши допускают чтение за пределами границ.

 

Исследователи из JFrog рекомендуют проапдейтить PJSIP до версии 2.12, в которой разработчики устранили все найденные уязвимости.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Повторный отказ заземлить ПДн россиян может стоить WhatsApp 18 млн рублей

Дело в отношении WhatsApp LLC завели в Москве накануне. Мессенджер продолжает собирать данные российских пользователей за пределами страны. Теперь компании грозит от 6 млн рублей до 18 млн рублей.

Заседание назначили на 28 июля, дело рассмотрит Таганский районный суд. Об этом сообщает портал мировых судей Москвы.

Дело возбуждено по протоколу Роскомнадзора, уточняет РИА “Новости”. Речь идет о ч.9 статьи 13.11 Кодекса об административных нарушениях — повторный отказ локализовать данные российских пользователей на территории страны.

Прошлым летом WhatsApp уже заплатил за отказ “заземлить” данные 4 млн рублей. Сейчас “вилка” штрафа — от 6 млн до 18 млн рублей.

То же самое касается музыкального сервиса Spotify и компании Snap (владелец приложения Snapchat). На них завели дела по той же статье КоАП. Каждому грозит штраф до 6 млн рублей.

WhatsApp принадлежит Meta, она признана в России экстремистской. Деятельность компании запрещена, но сам мессенджер под эмбарго не попал. Год назад WhatsApp,Twitter (заблокирована в России) и Facebook (запрещена и заблокирована) оштрафовали на общую сумму в 36 млн рублей.

По закону о персональных данных оператор должен собирать и хранить ПДн россиян на территории страны. Накануне Госдума приняла новый вариант 152-ФЗ, но это норма там остаётся.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru