Программы используют библиотеку с открытым исходным кодом PJSIP, содержащую критические проблемы.
Мессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.
PJSIP — мультимедийная коммуникационная библиотека с открытым исходным кодом. Библиотека также используется набором инструментов PBX корпоративного класса с открытым исходным кодом Asterisk (частная телефонная станция), применяемый для оказания услуг передачи голоса по IP (VoIP).
По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах. Asterisk поддерживает системы IP-АТС, шлюзы VoIP и серверы конференций и используется малым и средним бизнесом, предприятиями, call-центрами, операторами связи и государственными органами.
Специалисты компании JFrog Security обнаружили пять уязвимостей повреждения памяти в PJSIP. Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.
Три уязвимости связаны с переполнением стека и получили оценку в 8,1 балла по шкале CVSS. Оставшиеся две включают в себя уязвимость чтения за пределами буфера и уязвимость переполнения буфера в API PJSUA. Обе уязвимости могут вызвать состояние «отказа в обслуживании» (DoS) и получили оценку в 5.9 балла по шкале CVSS.
Проблемы затрагивают все проекты, использующие версию библиотеки PJSIP старше 2.12 и передающие контролируемые злоумышленниками аргументы любому из следующих API: pjsua_player_create, pjsua_recorder_create, pjsua_playlist_create и pjsua_call_dump.
Спойлер: она начинается с подписки на наш канал