ASA-2019-00554 – WhatsApp: Vulnerabilidade de double free na função DDGifSlurp

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00554

Identificador(es)

ASA-2019-00554, CVE-2019-11932

Título

Vulnerabilidade de double free na função DDGifSlurp

Fabricante(s)

Facebook

Produto(s)

Facebook WhatsApp

Versão(ões) afetada(s)

WhatsApp para Android versões anteriores à 2.19.24

Versão(ões) corrigida(s)

WhatsApp para Android versão 2.19.24

Prova de conceito

Sim

Descrição

Uma vulnerabilidade de double-free na função DDGifSlurp em decoding.c em libpl_droidsonroids_gif antes da versão 1.2.15, conforme usada no WhatsApp para Android antes da versão 2.19.244, permite que atacantes remotos executem código arbitrário ou causem uma negação de serviço.

Detalhes técnicos

Desconhecido

Créditos

Awakened

Referência(s)

How a double-free bug in WhatsApp turns to RCE
https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/

Simple POC for exploiting WhatsApp double-free bug in DDGifSlurp in decoding.c in libpl_droidsonroids_gif
https://github.com/awakened1712/CVE-2019-11932

CVE-2019-11932
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11932

CVE-2019-11932
https://nvd.nist.gov/vuln/detail/CVE-2019-11932

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.