全球最受欢迎的消息交流平台WhatsApp，在继Facebook起诉NSO Group事件之后，再次曝出远程命令执行漏洞。

WhatsApp最近修补了一个严重漏洞（CVE-2019-11931），可使攻击者远程破坏目标设备并秘密地窃取存储在其中的聊天消息和文件。

漏洞原理

该漏洞是通过发送恶意构造的MP4文件发送给WhatsApp用户，触发基于堆栈的缓冲区溢出，影响了WhatsApp解析MP4文件的元数据流的方式，导致拒绝服务攻击或远程命令执行攻击，而且该文件最终还可以在受到攻击的设备上安装恶意后门或间谍软件。

受影响的版本及严重性

根据Facebook发布的报告得知，受影响的版本如下：

Android版本：<2.19.274
iOS版本：<2.19.100
Enterprise Client版本：<2.25.3
Windows Phone版本：≤2.18.368
Android商业版本：<2.19.104
iOS商业版本：<2.19.100

影响严重性及范围，类似于之前NSO Group公司利用WhatsApp VoIP呼叫漏洞，可在大约1400种Android、iOS设备上安装Pegasus间谍软件。

隐患

现在还没有确定的是在该漏洞修补之前，有没有已经被利用。

警觉

在受影响范围内的WhatsApp用户应该留意最近几个月接收到的MP4文件，并及时关注Facebook关于该漏洞的报告。

建议所有用户确保安装最新版本的WhatsApp。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2019/11/whatsapp-hacking-vulnerability.html