United States Computer Emergency Readiness Team (US-CERT)は5月14日(米国時間)、「Facebook Releases Security Advisory for WhatsApp|US-CERT」において、メッセンジャーアプリ「WhatsApp」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。
脆弱性に関する情報は次のページに掲載されている。
-
CVE-2019-3568|Facebook
影響を受けるとされるプロダクトおよびバージョンは次のとおり。
- WhatsApp for Android v2.19.134よりも前のバージョン
- WhatsApp Business for Android v2.19.44よりも前のバージョン
- WhatsApp for iOS v2.19.51よりも前のバージョン
- WhatsApp Business for iOS v2.19.51よりも前のバージョン
- WhatsApp for Windows Phone v2.18.348よりも前のバージョン
- WhatsApp for Tizen v2.18.15よりも前のバージョン
WhatsAppアプリのVoIPスタックの実装にバッファオーバーフローの脆弱性が存在しており、細工されたSRTCPパケットが送信されることでリモートからコード実行が可能とされている。
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーに対し、上記のセキュリティ情報をチェックするとともに、適切なバージョンへアップデートすることを推奨している。
WhatsAppは世界的に人気の高いメッセージングアプリの1つで、2014年にFacebookによって買収されている。
