Errores críticos de WhatsApp podrían haber permitido hackear dispositivos de forma remota

Crítica Alerta 5

WhatsApp ha lanzado actualizaciones de seguridad para abordar dos fallos en su aplicación de mensajería para Android e iOS que podrían conducir a la ejecución remota de código en dispositivos vulnerables.

Afectación

El problema afecta a WhatsApp y WhatsApp Business para Android e iOS antes de las versiones 2.22.16.12

Descripción

Uno de ellos se refiere a CVE-2022-36934 (puntuación CVSS: 9,8), una vulnerabilidad crítica de desbordamiento de enteros en WhatsApp que da como resultado la ejecución de código arbitrario simplemente estableciendo una videollamada.

La plataforma de mensajería propiedad de Meta también corrigió un error de subdesbordamiento de enteros, que se refiere a una categoría opuesta de errores que ocurren cuando el resultado de una operación es demasiado pequeño para almacenar el valor dentro del espacio de memoria asignado.

El problema de gravedad alta, dado el identificador CVE CVE-2022-27492 (puntaje CVSS: 7.8), afecta WhatsApp para Android antes de las versiones 2.22.16.2 y WhatsApp para iOS versión 2.22.15.9, y podría activarse al recibir un mensaje de archivo de vídeo especialmente diseñado.

La explotación de desbordamientos y subdesbordamientos de enteros es un trampolín para inducir un comportamiento no deseado, lo que provoca bloqueos inesperados, daños en la memoria y ejecución de código.

WhatsApp no ha ​​compartido más detalles sobre las vulnerabilidades, pero la empresa Malwarebytes dijo que residen en dos componentes llamados Controlador de llamadas de video y Controlador de archivos de video, lo que podría permitir que un atacante tome el control de la aplicación.

Las vulnerabilidades en WhatsApp pueden ser un vector de ataque lucrativo para los actores de amenazas que buscan instalar software malicioso en dispositivos comprometidos. En 2019, el fabricante israelí de software espía NSO Group explotó una fallo en las llamadas de audio para inyectar el software espía Pegasus.

Solución

Actualizar WhatsApp y WhatsApp Business para Android e iOS, las versiones afectadas son antes de la 2.22.16.12

Comparte esta alerta de seguridad:

Deja un comentario

Alertas de seguridad

Recíbelas a tu email
Consulta las últimas alertas