Meta a avertizat utilizatorii Windows să actualizeze aplicația de mesagerie WhatsApp la cea mai recentă versiune pentru a corecta o vulnerabilitate care poate permite atacatorilor să execute cod malware pe dispozitivele lor anunță Bleepingcomputer.
Descrisă ca o problemă de falsificare (spoofing) și urmărită ca CVE-2025-30401, această vulnerabilitate poate fi exploatată de către atacatori prin trimiterea unor fișiere create în mod rău intenționat cu tipuri de fișiere modificate către potențiale ținte.
Meta spune că vulnerabilitatea a afectat toate versiunile WhatsApp și a fost remediată odată cu lansarea WhatsApp 2.2450.6.
„O problemă de falsificare (spoofing) în WhatsApp pentru Windows înainte de versiunea 2.2450.6 a afișat atașamente în funcție de tipul lor MIME, dar a selectat gestionarea de deschidere a fișierului pe baza extensiei de nume de fișier a atașamentului”, a explicat WhatsApp într-un anunț public.
„O nepotrivire creată în mod rău intenționat ar fi putut determina destinatarul să execute din greșeală cod arbitrar, mai degrabă decât să vizualizeze atașamentul atunci când deschide manual atașamentul în WhatsApp.”
Meta spune că un cercetător extern a găsit și a raportat defectul prin programul Meta Bug Bounty. Compania nu a împărtășit încă dacă CVE-2025-30401 a fost exploatat în prezent.
În iulie 2024, WhatsApp a abordat o problemă ușor similară care a permis ca atașamentele Python și PHP să fie executate fără avertisment atunci când destinatarii le deschideau pe dispozitive Windows cu Python instalat.
Mai recent, în urma rapoartelor cercetătorilor de securitate de la Citizen Lab de la Universitatea din Toronto, WhatsApp a corectat și o vulnerabilitate de securitate zero-click, zero-day, care a fost exploatată pentru a instala software-ul spion Paragon Graphite.
O zi zero/zero-day (cunoscută și ca o zi 0) este o vulnerabilitate sau o gaură de securitate într-un sistem informatic necunoscută proprietarilor, dezvoltatorilor sau oricui este capabil să o atenueze. Până când vulnerabilitatea este remediată, actorii amenințărilor o pot exploata într-un exploit zero-day sau atac zero-day.
O exploatare fără clicuri/zero-click este proiectată să funcționeze fără interacțiunea utilizatorului, ceea ce înseamnă că trebuie să realizeze execuția de cod pe cont propriu. Majoritatea exploit-urilor zero-click sunt concepute pentru a profita de vulnerabilitățile din aplicațiile care acceptă și procesează date care nu sunt de încredere.
Compania a spus că vectorul de atac a fost abordat la sfârșitul anului trecut „fără a fi nevoie de o remediere la nivelul clientului” și a decis să nu atribuie un CVE-ID după „a revizuit ghidurile CVE publicate de MITRE și propriile politici interne”.
Pe 31 ianuarie, după atenuarea problemei de securitate pe partea serverului, WhatsApp a alertat aproximativ 90 de utilizatori Android din peste două duzini de țări, inclusiv jurnalişti și activişti italieni care au fost vizaţi de atacuri spyware Paragon folosind exploit-ul zero-click.
În decembrie anul trecut, un judecător federal din SUA a hotărât, de asemenea, că producătorul israelian de programe spion NSO Group a folosit WhatsApp zero-days pentru a implementa software-ul spion Pegasus pe cel puțin 1.400 de dispozitive, încălcând astfel legile americane privind piratarea.
Documentele instanței au dezvăluit că NSO ar fi implementat programe spion Pegasus în atacuri zero-click care au exploatat vulnerabilitățile WhatsApp folosind mai multe exploit-uri zero-day. Documentele mai spuneau că dezvoltatorii producătorului de programe spyware au realizat inginerie inversă a codului WhatsApp pentru a crea instrumente care trimiteau mesaje rău intenționate care instalau programe spion, încălcând legile federale și de stat.
