W komunikatorze WhatsApp wykryto dwa bardzo poważne błędy. Wprawdzie zostały one już usunięte, ale to oznacza konieczność niezwłocznej aktualizacji.
Nie demonizujmy, WhatsApp to cały czas jeden z najbezpieczniejszych komunikatorów na świecie, ale nawet najlepszym zdarzają się wpadki. Wtedy dobrze widzieć, jak deweloper czuwa i reaguje na problem.
Jak poinformowano na łamach oficjalnego biuletynu, z końcem września usunięto z WhatsAppa dwa naprawdę poważne błędy, CVE-2022-36934 oraz CVE-2022-27492. Krytyczny jest zwłaszcza pierwszy z wymienionych, który doczekał się oceny 9,8 w dziesięciostopniowej skali CVSS, ale i jeden, i drugi mógł namieszać. Mowa tu bowiem o ryzyku nieautoryzowanego wykonania dowolnego kodu, a więc m.in. wykradzeniu danych.
WhatsApp nie chce ujawniać zbyt wielu detali. Wiemy jednak, że obydwie podatności znalazły się w bibliotekach odpowiedzialnych za wideoczaty i związane są z zapisem w pamięci liczb całkowitych. Raz przepełnieniem, a drugim razem niedomiarem, czyli odpowiednio wartościami większymi i mniejszymi niż przewidzieli twórcy.
Teraz - najważniejsze. Zagrożone są zarówno konsumencki WhatsApp, jak i jego wariant biznesowy. Podatność CVE-2022-36934 występuje w wersjach na Androida oraz iOS starszych niż 2.22.16.12, z kolei CVE-2022-27492 - 2.22.16.2 na Androidzie i 2.22.15.9 na iOS. Co ważne, aby skorzystać z jednej z nich, zdaniem twórców wystarczy przesłać odpowiednio spreparowany plik wideo.
W tej chwili nie ma żadnych danych świadczących o wykorzystaniu jednej z rzeczonych luk przez przestępców. Natomiast należy mieć na uwadze, że błąd podobnej klasy, wówczas znaleziony w module połączeń głosowych, w 2019 roku posłużył niesławnej NSO Group do dystrybucji oprogramowania szpiegowskiego Pegasus. Dmuchając na zimne, nie warto więc zwlekać z aktualizacją swojego komunikatora.
Źródło zdjęć: guteksk7 / Shutterstock
Źródło tekstu: WhatsApp, oprac. własne