/ Автор: orsecadmin | Оставить комментарий
В мессенджере WhatsApp исправлены две серьезные уязвимости, которые можно было использовать для удаленного выполнения произвольного кода. Баги затрагивали как WhatsApp для Android, так и для iOS.
На сайте мессенджера появился третий за этот год бюллетень безопасности (первые два были выпущены в январе и феврале 2022 года). В нем разработчики информируют пользователей сразу о двух проблемах, влияющих на мобильные версии WhatsApp.
Первая уязвимость, получившая идентификатор CVE-2022-36934, оценивается как критическая (9,8 балла из 10 возможных по шкале CVSS) и связана с целочисленным переполнением.
Проблема затрагивала
- WhatsApp для Android;
- Business-версию приложения для Android,
- WhatsApp для iOS;
- Business-вариант мессенджера для iOS.
По информации разработчиков, злоумышленник мог использовать эту уязвимость для удаленного выполнения кода во время видеозвонка.
Вторая проблема, имеющая идентификатор CVE-2022-27492 (7,8 балла из 10 возможных по шкале CVSS), связана с целочисленной потерей значимости. Эту проблему тоже можно использовать для удаленного выполнения кода, но на этот раз злоумышленник должен отправить жертве специально подготовленный видеофайл. Иными словами, устройства пользователей могут быть взломаны после просмотра ими видеоролика, в котором киберпреступники также научились прятать вредоносный код.
Дистанционное выполнение кода при успешной эксплуатации указанных критических уязвимостей в WhatsApp позволит киберпреступникам загрузить и установить на пользовательские устройства специальное вредоносное шпионское ПО, с помощью которого злоумышленники смогут украсть различную персональную информацию и платежные данные.
Обе критические уязвимости, которые были обнаружены в версиях мессенджера для iPhone и Android, были устранены в версиях приложения 2.22.16.12. Ошибки исправлены специалистами WhatsApp месяц назад, и в настоящее время нет никаких признаков того, что они уже использовались хакерами.
Однако угроза всё ещё актуальна для тех пользователей, которые до сих пор используют старую версию мессенджера. В связи с этим разработчики настоятельно рекомендуют обновиться до последней версии.
С заботой о вашей безопасности, команда Origin Security