В WhatsApp исправлены 2 критические уязвимости

Исследователи из компании Sophos обнаружили в мессенджере WhatsApp две уязвимости нулевого дня, которые могут привести удаленному выполнению кода (RCE) и позволить злоумышленнику доставить вредоносное ПО для удаленного управления устройством.

Согласно бюллетеню безопасности WhatsApp, ошибки отслеживаются как CVE-2022-36934 и CVE-2022-27492 и влияют на WhatsApp и WhatsApp Business для Android и iOS. Уязвимости связаны с целочисленным переполнением потока.

Уязвимость Integer Overflow CVE-2022-36934 (оценка CVSS 9,8) позволяет хакеру удаленно выполнить код во время видеозвонка. Ошибка затрагивает:

• WhatsApp для Android версии 2.22.16.12 и ниже;
• WhatsApp Business для Android версии 2.22.16.12 и ниже;
• WhatsApp для iOS версии 2.22.16.12 и ниже;
• WhatsApp Business для iOS версии 2.22.16.12 и ниже.

Уязвимость Integer Underflow CVE-2022-27492 (оценка CVSS 7,8) осуществляется через отправку жертве заранее созданного видеофайла. Недостаток затрагивает:

• WhatsApp для Android v2.22.16.2 и ниже;
• WhatsApp для iOS версии 2.22.15.9 и ниже.

Ошибки исправлены специалистами WhatsApp месяц назад, но все ещё представляют опасность для пользователей. Поэтому эксперты призывают обновить версию WhatsApp, чтобы избежать заражения.