CVE-2019-18426
Meta Platforms WhatsApp
2022-05-23
A vulnerability in WhatsApp Desktop when paired with WhatsApp for iPhone allows cross-site scripting and local file reading.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в WhatsApp Desktop (версии до 0.3.9309) при использовании в паре с WhatsApp для iPhone. Злоумышленник может отправить специально сформированное сообщение, содержащее вредоносный HTML/JavaScript. При предварительном просмотре этого сообщения в десктопном приложении выполняется межсайтовый скриптинг (XSS), что может привести к: * Краже сессионных данных и учетных записей. * Чтению локальных файлов с компьютера жертвы.
Как исправить
Решение: Обновить WhatsApp Desktop до версии 0.3.9309 или новее.
Для Windows (установщик с сайта): 1. Закройте WhatsApp Desktop. 2. Скачайте последнюю версию установщика с официального сайта: https://www.whatsapp.com/download 3. Запустите установщик и следуйте инструкциям. Он автоматически обновит существующую версию.
Для macOS:
1. Закройте WhatsApp Desktop.
2. Скачайте последнюю версию .dmg файла с официального сайта: https://www.whatsapp.com/download
3. Откройте образ и перетащите приложение в папку Applications, подтвердив замену.
Для Linux (Snap-пакет):
sudo snap refresh whatsapp-desktop
Временное решение
Если немедленное обновление невозможно: 1. Отключите предварительный просмотр ссылок: В настройках WhatsApp Desktop снимите галочку с опции "Предварительный просмотр ссылок" (или аналогичной). 2. Используйте веб-версию (Web/WhatsApp Web): Временно перейдите на использование браузерной версии в актуальном Chrome/Firefox/Edge, которые имеют встроенные механизмы защиты от подобных XSS-атак. 3. Повысьте осведомленность: Предупредите пользователей не открывать подозрительные сообщения и ссылки от неизвестных отправителей. 4. Ограничение (крайняя мера): Рассмотрите временный запрет на использование уязвимой версии WhatsApp Desktop в корпоративной сети до момента обновления.