Facebook ha parcheado una vulnerabilidad crítica que permitiría leer ficheros alojados en el sistema de archivos del usuario.

A través de un mensaje especialmente manipulado, un atacante remoto podía aprovechar una vulnerabilidad de «cross-site scripting» que permitía acceder a ficheros alojados en la máquina de la víctima.

La vulnerabilidad afectaba a las versiones de escritorio de WhatsApp de sistemas Windows y macOS anteriores a la v0.3.9309 que estuvieran emparejadas con versiones de WhatsApp para iPhone anteriores a la 2.20.10.

Se ha asignado el código CVE-2019-18426 y la puntuación base de 8.2 a esta vulnerabilidad, ya que, aunque podía ser explotada de forma remota, era necesario que la víctima hiciese ‘click’ en la previsualización del enlace contenido en el mensaje malicioso.

El fallo ha sido descubierto por el investigador Gal Weizman, del equipo de PerimeterX. Profundizando una brecha en la política de seguridad del contenido (CSP), Weizman pudo realizar un ataque XSS que le permitió acceder al sistema local de archivos de máquinas Windows o macOS:

alert(navigator.userAgent);
 (async function(){
     // read "file:///C:/Windows/System32/drivers/etc/hosts" content
     const r = await fetch('file:///C:/Windows/System32/drivers/etc/hosts);
     const t = await r.text();
     alert(t)
 }())