ASA-2020-00047 – WhatsApp: Um parâmetro controlado pelo usuário usado na chamada de vídeo pode ter permitido um out-of-bounds em dispositivos de 32 bits

Um parâmetro controlado pelo usuário usado em chamada de vídeo no WhatsApp for Android anterior à v2.20.17, WhatsApp Business for Android anterior à v2.20.7, WhatsApp for iPhone anterior à v2.20.20 e WhatsApp Business for iPhone anterior à v2.20.20 poderia ter permitido um out-of-bounds write em dispositivos de 32 bits.

ASA-2020-00044 – WhatsApp: Um buffer overflow pode ter permitindo out-of-bounds write por meio de um stream de vídeo especialmente criado

Um estouro de buffer no WhatsApp para Android antes da v2.20.11 e no WhatsApp Business para Android antes da v2.20.2 poderia ter permitido uma gravação fora dos limites por meio de um fluxo de vídeo especialmente criado após receber e responder a uma chamada de vídeo maliciosa.

ASA-2019-00548 – WhatsApp: Integer overflow em bibliotecas de tratamento de mídia por meio de tags EXIF em imagens WEBP

Integer overflow em bibliotecas de parsing de mídia do WhatsApp permite que um atacante remoto realize um out-of-bounds write na heap por meio de tags EXIF especialmente criadas em imagens WEBP.

ASA-2019-00547 – VMware: Vulnerabilidades de out-of-bounds read/write em máquina virtual com gráfico 3D ativado

O VMware ESXi, Workstation e Fusion contêm vulnerabilidades de out-of-bounds read/write na funcionalidade de pixel shader. A exploração desses problemas exige que um atacante tenha acesso a uma máquina virtual com gráficos 3D ativados. Não é ativado por padrão no ESXi e é ativado por padrão na estação de trabalho e no Fusion. A exploração bem-sucedida do problema de out-of-bounds read (CVE-2019-5521) pode levar à divulgação de informações ou permitir que atacantes com privilégios normais de usuário criem uma condição de negação de serviço no host. O problema de out-of-bounds write (CVE-2019-5684) pode ser explorado apenas se o host tiver um driver gráfico NVIDIA afetado. A exploração bem-sucedida desse problema pode levar à execução de código no host.