В WhatsApp исправлены 2 критические уязвимости

В WhatsApp исправлены 2 критические уязвимости

Хакер использует видео для захвата устройства.

Исследователи из компании Sophos обнаружили в мессенджере WhatsApp две уязвимости нулевого дня, которые могут привести удаленному выполнению кода (RCE) и позволить злоумышленнику доставить вредоносное ПО для удаленного управления устройством.

Согласно бюллетеню безопасности WhatsApp, ошибки отслеживаются как CVE-2022-36934 и CVE-2022-27492 и влияют на WhatsApp и WhatsApp Business для Android и iOS. Уязвимости связаны с целочисленным переполнением потока.

Уязвимость Integer Overflow CVE-2022-36934 (оценка CVSS 9,8) позволяет хакеру удаленно выполнить код во время видеозвонка. Ошибка затрагивает:

  • WhatsApp для Android версии 2.22.16.12 и ниже;
  • WhatsApp Business для Android версии 2.22.16.12 и ниже;
  • WhatsApp для iOS версии 2.22.16.12 и ниже;
  • WhatsApp Business для iOS версии 2.22.16.12 и ниже.
Уязвимость Integer Underflow CVE-2022-27492 (оценка CVSS 7,8) осуществляется через отправку жертве заранее созданного видеофайла. Недостаток затрагивает:

  • WhatsApp для Android v2.22.16.2 и ниже;
  • WhatsApp для iOS версии 2.22.15.9 и ниже.

Ошибки исправлены специалистами WhatsApp месяц назад, но все ещё представляют опасность для пользователей. Поэтому эксперты призывают обновить версию WhatsApp, чтобы избежать заражения.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!