安全公司Check Point发现，在全球拥有超过七亿用户的社交应用WhatsApp出现了一个web漏洞，多达两亿用户遭受影响。

漏洞浅析

Web版本的WhatsApp允许用户在PC机上进行访问，然而黑客利用该漏洞，可以在受害者电脑上执行任意代码。
Check Point公司的安全研究员Kasif Dekel解释说，黑客利用该漏洞，发送一个包含恶意代码的电子名片给其他用户，就可以执行任意代码。
黑客需要在发送的电子名片里name属性里注入命令字符串，用&分割。受害者的Windows会自动解析各种属性并组合起来，然后试图执行里面的内容，自然也可以执行注入的命令。
这个漏洞主要在于Web版本的WhatsApp缺乏对发送名片格式的验证，让黑客可以在受害人机器上运行各类恶意软件，如远控和蠕虫等等。
Dekel补充道：

“通过截取和篡改发送给WhatsApp服务器的XMPP包，你就可以控制电子联系卡片的文件扩展名。”

漏洞扩展

Check Point的专家们补充说，黑客也可以使用一个简单的图标来利用这个漏洞：

这个简单的技巧实际上就是WhatsApp钓鱼，不过许多用户认识不到附件可能存在的恶意属性，因此这个漏洞可能影响到数以百万计的用户。
Check Point上个月将这个漏洞报给了WhatsApp，厂商在WhatsApp Web v0.1.4481版本后修复了该漏洞。尽快更新你的WhatsApp吧！
*参考来源：SA，编译/dawner，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM