WhatsApp đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng trong ứng dụng nhắn tin dành cho Android và iOS có thể dẫn đến việc thực thi mã từ xa trên các thiết bị dễ bị tấn công.
Một trong số đó liên quan đến CVE-2022-36934 (điểm CVSS: 9,8), lỗ hổng bảo mật tràn số nguyên nghiêm trọng trong WhatsApp dẫn đến việc thực thi mã tùy ý chỉ bằng cách thiết lập cuộc gọi điện video.
Sự cố ảnh hưởng đến WhatsApp và WhatsApp Business dành cho Android và iOS trước phiên bản 2.22.16.12.
Cũng được vá bởi nền tảng nhắn tin do Meta sở hữu là một lỗi dòng số nguyên, đề cập đến một loại lỗi ngược lại xảy ra khi kết quả của một thao tác quá nhỏ để lưu trữ giá trị trong không gian bộ nhớ được cấp phát.
Sự cố có mức độ nghiêm trọng cao, do số nhận dạng CVE CVE-2022-27492 (điểm CVSS: 7,8), ảnh hưởng đến WhatsApp dành cho Android trước phiên bản 2.22.16.2 và WhatsApp dành cho iOS phiên bản 2.22.15.9 và có thể được kích hoạt khi nhận được một phiên bản đặc biệt tập tin video.
Khai thác tràn và tràn số nguyên là một bước đệm để tạo ra hành vi không mong muốn, gây ra sự cố không mong muốn, hỏng bộ nhớ và thực thi mã.
WhatsApp không chia sẻ chi tiết cụ thể hơn về các lỗ hổng, nhưng công ty an ninh mạng Malwarebytes nói rằng chúng nằm trong hai thành phần được gọi là Trình xử lý cuộc gọi video và Trình xử lý tệp video, có thể cho phép kẻ tấn công chiếm quyền kiểm soát ứng dụng.
Các lỗ hổng trên WhatsApp có thể là một vectơ tấn công sinh lợi cho các tác nhân đe dọa tìm cách cài đặt phần mềm độc hại trên các thiết bị bị xâm nhập. Vào năm 2019, một lỗ hổng cuộc gọi âm thanh đã được khai thác bởi nhà sản xuất phần mềm gián điệp NSO Group của Israel để đưa phần mềm gián điệp Pegasus vào.
.
