WhatsApp пусна актуализации за сигурност, за да се справи с два пропуска в своето приложение за съобщения за Android и iOS, които биха могли да доведат до дистанционно изпълнение на код срещу уязвими устройства.
Едната актуализация се отнася до CVE-2022-36934 (CVSS резултат 9.8), при която се наблюдава така нареченото целочислено препълване (integer overflow) в WhatsApp, което води до изпълнение на произволен код просто чрез установяване на видео разговор.
Проблемът засяга WhatsApp и WhatsApp Business за Android и iOS преди версии 2.22.16.12.
Друг бъг за целочислена недостатъчност, също коригиран от платформата за съобщения, собственост на Meta, се отнася до противоположна категория грешки, които възникват, когато резултатът от операцията е твърде малък за съхраняване на стойността в разпределеното пространство в паметта.
Проблемът е с висока степен на сериозност, предвид CVE идентификатора CVE-2022-27492, който засяга WhatsApp за Android преди версии 2.22.16.2 и WhatsApp за iOS версия 2.22.15.9 и може да се задейства при получаване на специално изработен видео файл.
Използването на целочислени препълвания и недостатъчности е трамплин към предизвикване на нежелано поведение на устройството, причинявайки неочаквани сривове, повреда на паметта или изпълнение на злонамерен код.
WhatsApp не споделя повече подробности относно уязвимостите, но фирмата за киберсигурност Malwarebytes казва, че те се намират в два компонента, наречени Video Call Handler и Video File Handler, които могат да позволят на атакуващ да завладее контрола над приложението.
От WhatsApp обявиха, че сами са открили недостатъците и няма доказателства за тяхната експлоатация.
Уязвимостите в WhatsApp могат да бъдат доходоносен ключ за атаки от злонамерени играчи, които искат да поставят зловреден софтуер на компрометирани устройства. През 2019 г. израелският производител на шпионски софтуер NSO Group използва пропуск в аудио разговори, за да инжектира шпионския софтуер Pegasus.
