Wire 拒绝服务漏洞

CVE编号

CVE-2020-27853

利用情况

暂无

补丁情况

N/A

披露时间

2020-10-28
漏洞描述
Wire是个人开发者的一款聊天软件。该软件支持 Web、WindowsiOS、Android、OS X 平台,有群组功能,可以语音通话,发送照片以及其独创性的打招呼方式 PING。 Wire 2020-10-16之前版本存在安全漏洞,该漏洞攻击者造成拒绝服务(应用程序崩溃)或可能通过格式字符串执行任意代码。以下产品及版本受到影响:Wire AVS (Audio, Video, and Signaling) 5.3版本至6.x系列6.4之前版本, Wire Secure Messenger application Android 3.49.918版本, Wire Secure Messenger application iOS 3.61版本。

解决建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://github.com/wireapp/wire-audio-video-signaling/issues/23#issuecomment-710075689


参考链接
http://github.security.telekom.com/2020/11/wire-secure-messenger-format-strin...
https://github.com/wireapp/wire-audio-video-signaling/issues/23#issuecomment-...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 wire wire * Up to
(excluding)
3.21.2936
运行在以下环境
应用 wire wire * Up to
(excluding)
3.21.3932
运行在以下环境
应用 wire wire * Up to
(excluding)
3.21.3959
运行在以下环境
应用 wire wire_-_audio,_video,_and_signaling * From
(including)
5.3 		Up to
(excluding)
6.4
运行在以下环境
应用 wire wire_secure_messenger * Up to
(excluding)
3.49.918
运行在以下环境
应用 wire wire_secure_messenger * Up to
(excluding)
3.61
CVSS3评分
9.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-134 使用外部控制的格式字符串
阿里云安全产品覆盖情况