Errors crítics de WhatsApp podrien haver permès hackejar dispositius de forma remota

Crítica alerta 5

WhatsApp ha llançat actualitzacions de seguretat per abordar dos errors en la seva aplicació de missatgeria per a Android i iOS que podrien conduir a lexecució remota de codi en dispositius vulnerables.

Afectació

El problema afecta a WhatsApp i WhatsApp Business per a Android i iOS abans de les versions 2.22.16.12

Descripció

Un es refereix a CVE-2022-36934 (puntuació CVSS: 9,8), una vulnerabilitat crítica de desbordament d'enters a WhatsApp que dóna com a resultat l'execució de codi arbitrari simplement establint una videotrucada.

La plataforma de missatgeria propietat de Meta també va corregir un error de subdesbordament d'enters, que fa referència a una categoria oposada d'errors que ocorren quan el resultat d'una operació és massa petit per emmagatzemar el valor dins de l'espai de memòria assignat.

El problema de gravetat alta, atès l'identificador CVE CVE-2022-27492 (puntatge CVSS: 7.8), afecta WhatsApp per a Android abans de les versions 2.22.16.2 i WhatsApp per a iOS versió 2.22.15.9, i podria activar en rebre un missatge de fitxer de vídeo especialment dissenyat.

L'explotació de desbordaments i subdesbordaments de sencers és un trampolí per induir un comportament no desitjat, el que provoca bloquejos inesperats, danys a la memòria i execució de codi.

WhatsApp no ​​ha compartit més detalls sobre les vulnerabilitats, però l'empresa Malwarebytes va dir que resideixen en dos components anomenats Controlador de trucades de vídeo i Controlador de fitxers de vídeo, cosa que podria permetre que un atacant prengui el control de l'aplicació.

Les vulnerabilitats a WhatsApp poden ser un vector d'atac lucratiu per als actors d'amenaces que busquen instal·lar programari maliciós a dispositius compromesos. El 2019, el fabricant israelià de programari espia NSO Group va explotar una error en les trucades dàudio per injectar el programari espia Pegasus.

Solució

Actualitzar WhatsApp i WhatsApp Business per a Android i iOS, les versions afectades són abans de la 2.22.16.12

Comparteix aquesta alerta de seguretat:

Deixa un comentari

Alertes de seguretat

Rebeu-les al teu email
Consulta les últimes alertes