O WhatsApp corrigiu duas vulnerabilidades que possibilitavam a execução remota de código em sua atualização de setembro, de acordo com um comunicado de segurança.
Uma das vulnerabilidades é identificada pelo código CVE-2022-36934 no banco de dados nacional de vulnerabilidades dos Estados Unidos e recebeu 9,8 pontos (de 10) na escala CVE. Isso equivale ao nível de ameaça mais alto possível (crítico).
Além da invasão, a vulnerabilidade permitia que o invasor executasse seu próprio código no smartphone da vítima após enviar uma chamada de vídeo criada especialmente para a invasão. Em maio passado, vale notar, comentamos um bug bem parecido.
A segunda vulnerabilidade, identificada como CVE-2022-27492, poderia permitir que invasores executassem códigos remotamente após enviar um arquivo de vídeo malicioso para a vítima. Essa vulnerabilidade recebeu pontuação de 7,8 — correspondendo a um nível de gravidade “alto”.
Ambas as vulnerabilidades já foram corrigidas nas versões atuais do WhatsApp. No entanto, elas ainda podem afetar dispositivos que estão executando alguma versão mais antiga. De acordo com o comunicado da empresa, as falhas afetam:
- WhatsApp para Android anterior à v2.22.16.12;
- WhatsApp Business para Android anterior à v2.22.16.12;
- WhatsApp para iOS anterior à v2.22.16.12;
- WhatsApp Business para iOS anterior à v2.22.16.12.
Fica o alerta, portanto.
via The Verge