Facebook剛剛披露了WhatsApp緩衝區漏洞的部分細節。在上週的一份安全公告中，其表示CVE-2019-11931是由基於堆棧的緩衝區溢出bug引發，導致攻擊者可向受害者發送精心製作的.MP4格式視頻文件來觸發這個漏洞。儘管沒有提供太多的技術細節，但Facebook表示，問題出在這款加密消息應用對.MP4基礎流元數據（elementary stream metadata）的解析上。

（圖自：Google Play，via ZDNet）

若被利用，該漏洞可導致拒絕服務（DoS）或遠程代碼執行（RCE）攻擊。無論是Android、還是iOS 客戶端，2.19.274 之前的WhatsApp 版本，均受到該漏洞的影響。

Android 2.19.104 之前的Android 商務版、以及2.19.100 之前iOS 商務版，也易受到此類攻擊。

2.25.3之前的企業版客戶端和WhatsApp的Windows Phone版本（包括2.18.368及更低版本）同樣受到影響。

儘管尚無該漏洞被野外利用的報告，Facebook 還是建議WhatsApp 用戶盡快將軟件更新到最新版本，以降低風險。Facebook 發言人稱：

我們一直在努力提升WhatsApp 服務的安全性，且會針對已解決的潛在問題發佈公開報告、並根據行業最佳實踐進行修復。

對於CVE-2019-11931 漏洞，我們相信沒有用戶受到實際的影響。