チャットアプリ「WhatsApp」で見つかった6つのセキュリティの問題から考える(2020年9月)

スポンサーリンク

世界最大のチャットアプリ「WhatsApp」に、新しく6つの脆弱性(バグとセキュリティの問題に)が見つかったそうです。

今回は、チャットアプリのセキュリティの問題を通して、アップデートの意味について考えてみましょう。

スポンサーリンク

WhatsAppとは?

WhatsAppは世界最大のチャットアプリです。

どうやってセキュリティホールは見つかったの?

今回のセキュリティの問題は、4つは定期的にプログラムを点検するときに自動システムが発見しました。残りの2つはWhatsApp社のバグ報奨金プログラムで報告があって見つかりました。

修正にはどれくらい時間がかかったの?

問題点のうち5つはすぐに修正されたものの、残った1つバグだけは数日かかったもの今は修正されています。今のところ、セキュリティホールが悪用された形跡は見つかってないとのことです。

問題になる前に直ってよかったね

WhatsAppにどんな脆弱性があったの?

セキュリティの問題は、CVE(Common Vulnerabilities and Exposures)というリストで管理されています。

CVEはセキュリティ問題の情報データベースで、ソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体(MITRE社)が提供しています。

バグの一覧
  • CVE-2020-1894
  • CVE-2020-1891
  • CVE-2020-1890
  • CVE-2020-1889
  • CVE-2020-1886
  • CVE-2019-11928

CVE-2020-1894

スタック書き込みオーバーフローにより、次の場合に任意のコードが実行される可能性があります。メッセージを話すために特別に細工されたプッシュを再生します。

バグ修正の対象
  • WhatsApp for Android(v2.20.35より前)
  • WhatsApp Business for Android(v2.20.20より前)
  • WhatsApp for iPhone(v2.20.30より前)
  • WhatsApp Business for iPhone(v2.20.30より前)

CVE-2020-1891

ビデオ通話で使用されるユーザー制御パラメーターは、 32ビットデバイスで境界外の書き込みを許可しました。

バグ修正の対象
  • WhatsApp for Android(v2.20.17より前)
  • WhatsApp Business for Android(v2.20.7より前)
  • WhatsApp for iPhone(v2.20.20より前)
  • WhatsApp Business for iPhone(v2.20.20より前)

CVE-2020-1890

URL検証の問題により、意図的に不正な形式のデータを含むステッカーメッセージの受信者が、ユーザーの操作なしに送信者が制御するURLから画像をロードすることがありました。

バグ修正の対象
  • WhatsApp for Android(v2.20.11より前)
  • WhatsApp Business for Android(v2.20.2より前)

CVE-2020-1889

セキュリティ機能バイパスの問題により、サンドボックスレンダラープロセス内のリモートコード実行の脆弱性と組み合わせた場合、Electronでのサンドボックスエスケープと特権のエスカレーションが可能になる可能性がありました。

バグ修正の対象
  • WhatsAppデスクトップ(v0.3.4932より前)

CVE-2020-1886

バッファオーバーフローにより、悪意のあるビデオコールを受信して 応答した後、特別に細工されたビデオストリームを介して境界外の書き込みが許可される可能性がありました。

バグ修正の対象
  • WhatsApp for Android(v2.20.11より前)
  • WhatsApp Business for Android(v2.20.2より前)

CVE-2019-11928

入力検証の問題により、特別に細工されたライブロケーションメッセージからのリンクをクリックすると、クロスサイトスクリプティングが可能になる可能性がありました。

バグ修正の対象
  • WhatsAppデスクトップ(v0.3.4932より前)

参考リスト

タイトルとURLをコピーしました