Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости

03/03/22

hack1-Mar-03-2022-08-43-36-32-AMМессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.

PJSIP — мультимедийная коммуникационная библиотека с открытым исходным кодом. Библиотека также используется набором инструментов PBX корпоративного класса с открытым исходным кодом Asterisk (частная телефонная станция), применяемый для оказания услуг передачи голоса по IP (VoIP).

По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах. Asterisk поддерживает системы IP-АТС, шлюзы VoIP и серверы конференций и используется малым и средним бизнесом, предприятиями, call-центрами, операторами связи и государственными органами.

Специалисты компании JFrog Security обнаружили пять уязвимостей повреждения памяти в PJSIP. Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.

Три уязвимости связаны с переполнением стека и получили оценку в 8,1 балла по шкале CVSS. Оставшиеся две включают в себя уязвимость чтения за пределами буфера и уязвимость переполнения буфера в API PJSUA. Обе уязвимости могут вызвать состояние «отказа в обслуживании» (DoS) и получили оценку в 5.9 балла по шкале CVSS.

Проблемы затрагивают все проекты, использующие версию библиотеки PJSIP старше 2.12 и передающие контролируемые злоумышленниками аргументы любому из следующих API: pjsua_player_create, pjsua_recorder_create, pjsua_playlist_create и pjsua_call_dump.

Темы:WhatsappприложенияУгрозыисходный код
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Опасные связи
    Популярные мессенджеры оказались под прицелом из-за нарушений конфиденциальности. Можно ли им доверять?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...