A chaque jour sa nouvelle faille. Facebook rapporte avoir patché une vulnérabilité permettant l’exécution de code à distance par l’envoi, à un utilisateur, d’un fichier MP4 vérolé.
En mai dernier, la découverte d’une faille dans WhatsApp défrayait la chronique en mettant sous les projecteurs une entreprise israélienne, NSO Group. Spécialisée dans le renseignement, cette société est accusée et poursuivie pour avoir exploité cette faille par le biais d’un spyware connu sous le nom de Pegasus.
Six mois plus tard, c’est une nouvelle faille de WhatsApp que Facebook annonce avoir patchée. CVE-2019-11931 est, encore, un dépassement de la mémoire tampon pouvant être provoquée par la réception par un utilisateur de la messagerie d’un fichier MP4 spécialement conçu.
Bugué
« La vulnérabilité se situe sur l'analyse syntaxique des métadonnées de flux élémentaire d'un fichier MP4 et pouvait entraîner un déni de service ou une exécution de code à distance »” explique Facebook.
A priori, la faille n’a jamais été exploitée. Elle affecte toutes les versions de WhatsApp aussi bien grand public que Business et Enterprise, sur iOS, Android ou encore Windows Phone. CVE-2019-11931 a été corrigé dans la dernière mise-à-jour de l’application.