世界最大のチャットアプリ「WhatsApp」に、新しく6つの脆弱性(バグとセキュリティの問題に)が見つかったそうです。
今回は、チャットアプリのセキュリティの問題を通して、アップデートの意味について考えてみましょう。
1. WhatsAppとは?
WhatsAppは世界最大のチャットアプリです。
2. どうやってセキュリティホールは見つかったの?
今回のセキュリティの問題は、4つは定期的にプログラムを点検するときに自動システムが発見しました。残りの2つはWhatsApp社のバグ報奨金プログラムで報告があって見つかりました。
3. 修正にはどれくらい時間がかかったの?
問題点のうち5つはすぐに修正されたものの、残った1つバグだけは数日かかったもの今は修正されています。今のところ、セキュリティホールが悪用された形跡は見つかってないとのことです。
問題になる前に直ってよかったね
4. WhatsAppにどんな脆弱性があったの?
セキュリティの問題は、CVE(Common Vulnerabilities and Exposures)というリストで管理されています。
CVEはセキュリティ問題の情報データベースで、ソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体(MITRE社)が提供しています。
4-1. CVE-2020-1894
スタック書き込みオーバーフローにより、次の場合に任意のコードが実行される可能性があります。メッセージを話すために特別に細工されたプッシュを再生します。
4-2. CVE-2020-1891
ビデオ通話で使用されるユーザー制御パラメーターは、 32ビットデバイスで境界外の書き込みを許可しました。
4-3. CVE-2020-1890
URL検証の問題により、意図的に不正な形式のデータを含むステッカーメッセージの受信者が、ユーザーの操作なしに送信者が制御するURLから画像をロードすることがありました。
4-4. CVE-2020-1889
セキュリティ機能バイパスの問題により、サンドボックスレンダラープロセス内のリモートコード実行の脆弱性と組み合わせた場合、Electronでのサンドボックスエスケープと特権のエスカレーションが可能になる可能性がありました。
4-5. CVE-2020-1886
バッファオーバーフローにより、悪意のあるビデオコールを受信して 応答した後、特別に細工されたビデオストリームを介して境界外の書き込みが許可される可能性がありました。
4-6. CVE-2019-11928
入力検証の問題により、特別に細工されたライブロケーションメッセージからのリンクをクリックすると、クロスサイトスクリプティングが可能になる可能性がありました。
5. 参考リスト
