Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости

03/03/22

hack1-Mar-03-2022-08-43-36-32-AMМессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.

PJSIP — мультимедийная коммуникационная библиотека с открытым исходным кодом. Библиотека также используется набором инструментов PBX корпоративного класса с открытым исходным кодом Asterisk (частная телефонная станция), применяемый для оказания услуг передачи голоса по IP (VoIP).

По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах. Asterisk поддерживает системы IP-АТС, шлюзы VoIP и серверы конференций и используется малым и средним бизнесом, предприятиями, call-центрами, операторами связи и государственными органами.

Специалисты компании JFrog Security обнаружили пять уязвимостей повреждения памяти в PJSIP. Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.

Три уязвимости связаны с переполнением стека и получили оценку в 8,1 балла по шкале CVSS. Оставшиеся две включают в себя уязвимость чтения за пределами буфера и уязвимость переполнения буфера в API PJSUA. Обе уязвимости могут вызвать состояние «отказа в обслуживании» (DoS) и получили оценку в 5.9 балла по шкале CVSS.

Проблемы затрагивают все проекты, использующие версию библиотеки PJSIP старше 2.12 и передающие контролируемые злоумышленниками аргументы любому из следующих API: pjsua_player_create, pjsua_recorder_create, pjsua_playlist_create и pjsua_call_dump.

Темы:WhatsappприложенияУгрозыисходный код
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Опасные связи
    Популярные мессенджеры оказались под прицелом из-за нарушений конфиденциальности. Можно ли им доверять?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...