La vulnerabilidad de tipo buffer overflow era provocado al leer los metadatos de un vídeo MP4 enviado a través del programa.
Facebook, la empresa responsable de la popular aplicación de mensajería instantánea, ha lanzado una nueva versión de WhatsApp que resuelve una vulnerabilidad crítica que permitía tanto bloquear el programa (DoS) impidiendo su uso, como la ejecución remota de código (RCE) en el mismo.
Se desconoce si el fallo llegó a explotarse antes de ser parcheado o si fue la propia Facebook la que descubrió el error y lo arregló. Tampoco ha dado más detalles sobre la misma en el breve comunicado en el que informaba de la vulnerabilidad, que ha sido registrada con el identificador CVE-2019-11931.
La vulnerabilidad afecta tanto a las versiones empresariales como a las de consumo, siendo estas:
- Las versiones de Android anteriores a 2.19.274
- Las versiones para iOS anteriores a 2.19.100
- WhatsApp Enterprise en sus versiones anteriores a 2.25.3
- En Windows Phone todas las versiones, incluso la 2.18.368
- WhatsApp Business para Android en versiones anteriores a 2.19.104
- Versiones de WhatsApp Business para iOS anteriores a 2.19.100
Lo más que se sabe del error es que se trata de una vulnerabilidad de tipo buffer overflow durante el análisis de los metadatos de los vídeos MP4, siendo similar al que ya ocurrió en mayo de este año (CVE-2019-3568) y que fue explotado para difundir el spyware Pegasus entre los usuarios de iOS y Android.
A pesar de no haber dado detalles, ya parecen existir Pruebas de Concepto (PoC) para explotar esta vulnerabilidad. Se urge a todos los usuarios de WhatsApp a actualizar a la última versión disponible para evitar ser víctimas de esta vulnerabilidad.