Podría activarse al recibir un archivo de vídeo especialmente diseñado
WhatsApp ha lanzado actualizaciones de seguridad para abordar dos fallas en su aplicación de mensajería para Android e iOS que podrían conducir a la ejecución remota de código en dispositivos vulnerables.
Una de ellas se refiere a CVE-2022-36934 (puntuación CVSS: 9,8), una vulnerabilidad crítica de desbordamiento de enteros en WhatsApp que da como resultado la ejecución de código arbitrario simplemente estableciendo una videollamada.
El problema afecta a WhatsApp y WhatsApp Business para Android e iOS antes de las versiones 2.22.16.12.
La plataforma de mensajería propiedad de Meta también corrigió un error de subdesbordamiento de enteros, que se refiere a una categoría opuesta de errores que ocurren cuando el resultado de una operación es demasiado pequeño para almacenar el valor dentro del espacio de memoria asignado.
El problema de gravedad alta, dado el identificador CVE CVE-2022-27492 (puntaje CVSS: 7.8), afecta WhatsApp para Android antes de las versiones 2.22.16.2 y WhatsApp para iOS versión 2.22.15.9, y podría activarse al recibir un archivo de vídeo especialmente diseñado.
La explotación de desbordamientos y subdesbordamientos de enteros es un trampolín para inducir un comportamiento no deseado, lo que provoca bloqueos inesperados, daños en la memoria y ejecución de código.
WhatsApp no compartió más detalles sobre las vulnerabilidades, pero la firma de seguridad cibernética Malwarebytes dijo que residen en dos componentes llamados Controlador de llamadas de vídeo y Controlador de archivos de vídeo, lo que podría permitir que un atacante tome el control de la aplicación.
Las vulnerabilidades en WhatsApp pueden ser un lucrativo vector de ataque para los actores de amenazas que buscan instalar software malicioso en dispositivos comprometidos. En 2019, el fabricante israelí de software espía NSO Group explotó una falla en las llamadas de audio para inyectar el software espía Pegasus.