Um vCard contém informações de contacto, como o título, números de telefone e endereços de e-mail. Também conhecido como um Virtual Contact File (VCF), é um padrão de formato de arquivo para cartões de visita eletrónicos.
A esta vulnerabilidade foi o atribuído o ZDI-CAN-6920.
Um atacante pode criar um vCard especial que contenha no campo de contacto um URL e que direcione para um ficheiro executável.
De notar que a exploração desta falha requer a interação do utilizador, ou seja, as vítimas devem visitar essa página especialmente criada ou abrir um ficheiro malicioso. A vítima está especialmente vulnerável, porque a interface gráfica não avisa que o ficheiro pode ser malicioso ou especialmente perigoso, podendo levar dessa forma a uma execução de código remota.
Mais informações aqui: https://www.zerodayinitiative.com/advisories/ZDI-19-013/