Szerző: Hlács Ferenc

2020. február 6. 12:56

A helyi fájlokhoz is hozzáférést adott az asztali WhatsApp kliens sebezhetősége

A kritikus hibát a Facebook már Windows és macOS platformokon is javította.

Kritikus biztonsági rést javított az asztali WhatsApp kliensben a Facebook, amely illetéktelenek számára is hozzáférést biztosított az adott számítógépen tárolt fájlokhoz, legyen szó Windowst vagy macOS-t futtató eszközökről, és akár phishing támadások előtt is utat nyitott.

A hibát Gal Weizman, a PerimeterX biztonsági szakértője fedezte fel: egy XSS vagy cross-site scripting sebezhetőségről van szó, amely a WhatsApp kliens által is használt, keresztplatformos Electron keretrendszer implementációjának gyengesége miatt bukkant fel a szoftverben. A kliens sérülékenysége kiemelten nagy biztonsági kockázatot hordoz, hiszen ahogy a ThreatPost is rámutat, az asztali WhatsApp 1,5 milliárd havi aktív felhasználóval rendelkezik. A CVE-2019-1842 kód alatt követett sebezhetőség az asztali kliens 0.3.9309-nél korábbi verziói mellett az iOS-es variáns 2.20.10-nél korábbi kiadásaiban is lehetővé teszi az XSS támadásokat, és a helyben tárolt fájlokhoz való hozzáférést.whatsappill

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Ehhez a támadóknak egy megfelelően preparált üzenetet kell elküldeniük a felhasználónak, aki ha lekattintja az abban található hivatkozást, áldozatul is esik a támadásnak. Az ügyet súlyosbítja, hogy a sebezhetőséget kihasználva a támadók az adott link előnézetét is módosítani tudják, így az első blikkre egy ártalmatlan oldalnak tűnhet, míg valójában kártékony felületre mutat. Mindez az előnézetekért felelős JavaScript kód módosításával érhető el - de utóbbival az előnézet mellett akár maga a hivatkozás is egy hiteles, biztonságos oldal címének álcázható.

Ahogy a kutató is rámutat, szerencsére a modern böngészők egy része már védelmet biztosít a hasonló, megtévesztő hivatkozások ellen, beleértve a friss Chrome-ot is, a Safari ugyanakkor például még nem rendelkezik a megfelelő védelemmel, valamint a Chromium framework régebbi kiadásai sem, amelyekre a WhatsApp kliens sebezhető verziói is támaszkodnak. A Facebook a fentebb említett verziókból már kigyomlálta a hibát és az új Chrome keretrendszerre ültette át azokat - aki eddig nem tette, érdemes a klienst haladéktalanul frissíteni.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról

Vimeo Record

0

Videós üzenetküldőt indít a Vimeo

2020. október 28. 08:46

Az ingyenesen használható vállalati megoldás az elnyúló megbeszéléseket, és hosszas emaileket hivatott kiváltani.