WhatsApp ha lanzado actualizaciones de seguridad para abordar dos fallas en su aplicación de mensajería para Android e iOS que podrían conducir a la ejecución remota de código en dispositivos vulnerables.
Una de ellas preocupa CVE-2022-36934 (puntuación CVSS: 9,8), una vulnerabilidad crítica de desbordamiento de enteros en WhatsApp que da como resultado la ejecución de código arbitrario simplemente estableciendo una videollamada.
El problema afecta a WhatsApp y WhatsApp Business para Android e iOS antes de las versiones 2.22.16.12.
La plataforma de mensajería propiedad de Meta también corrigió un error de subdesbordamiento de enteros, que se refiere a una categoría opuesta de errores que ocurren cuando el resultado de una operación es demasiado pequeño para almacenar el valor dentro del espacio de memoria asignado.
El problema de alta gravedad, dado el identificador CVE CVE-2022-27492 (puntuación CVSS: 7.8), afecta WhatsApp para Android antes de las versiones 2.22.16.2 y WhatsApp para iOS versión 2.22.15.9, y podría activarse al recibir un archivo de video especialmente diseñado.
explotando desbordamiento de enteros y desbordamientos son un trampolín hacia la inducción de comportamientos no deseados, que provocan bloqueos inesperados, daños en la memoria y ejecución de código.
WhatsApp no compartió más detalles sobre las vulnerabilidades, pero la firma de ciberseguridad Malwarebytes dijo que residen en dos componentes llamados Controlador de llamadas de video y Controlador de archivos de video, lo que podría permitir que un atacante tome el control de la aplicación.
Las vulnerabilidades en WhatsApp pueden ser un vector de ataque lucrativo para los actores de amenazas que buscan instalar software malicioso en dispositivos comprometidos. En 2019, un defecto de llamada de audio fue explotado por el fabricante israelí de software espía NSO Group para inyectar el software espía Pegasus.