WhatsApp ha llançat actualitzacions de seguretat per abordar dos errors en la seva aplicació de missatgeria per a Android i iOS que podrien conduir a lexecució remota de codi en dispositius vulnerables.
Afectació
El problema afecta a WhatsApp i WhatsApp Business per a Android i iOS abans de les versions 2.22.16.12
Descripció
Un es refereix a CVE-2022-36934 (puntuació CVSS: 9,8), una vulnerabilitat crítica de desbordament d'enters a WhatsApp que dóna com a resultat l'execució de codi arbitrari simplement establint una videotrucada.
La plataforma de missatgeria propietat de Meta també va corregir un error de subdesbordament d'enters, que fa referència a una categoria oposada d'errors que ocorren quan el resultat d'una operació és massa petit per emmagatzemar el valor dins de l'espai de memòria assignat.
El problema de gravetat alta, atès l'identificador CVE CVE-2022-27492 (puntatge CVSS: 7.8), afecta WhatsApp per a Android abans de les versions 2.22.16.2 i WhatsApp per a iOS versió 2.22.15.9, i podria activar en rebre un missatge de fitxer de vídeo especialment dissenyat.
L'explotació de desbordaments i subdesbordaments de sencers és un trampolí per induir un comportament no desitjat, el que provoca bloquejos inesperats, danys a la memòria i execució de codi.
WhatsApp no ha compartit més detalls sobre les vulnerabilitats, però l'empresa Malwarebytes va dir que resideixen en dos components anomenats Controlador de trucades de vídeo i Controlador de fitxers de vídeo, cosa que podria permetre que un atacant prengui el control de l'aplicació.
Les vulnerabilitats a WhatsApp poden ser un vector d'atac lucratiu per als actors d'amenaces que busquen instal·lar programari maliciós a dispositius compromesos. El 2019, el fabricant israelià de programari espia NSO Group va explotar una error en les trucades dàudio per injectar el programari espia Pegasus.
Solució
Actualitzar WhatsApp i WhatsApp Business per a Android i iOS, les versions afectades són abans de la 2.22.16.12
