WhatsApp, Android ve iOS için mesajlaşma uygulamasında, savunmasız cihazlarda uzaktan kod yürütülmesine yol açabilecek iki kusuru gidermek için güvenlik güncellemeleri yayınladı.
Bunlardan biri, WhatsApp’ta yalnızca bir video görüşmesi kurarak rastgele kodun yürütülmesine neden olan kritik bir tamsayı taşması güvenlik açığı olan CVE-2022-36934 (CVSS puanı: 9.8) ile ilgilidir.
Sorun, 2.22.16.12 sürümlerinden önceki Android ve iOS için WhatsApp ve WhatsApp Business’ı etkiliyor.
Ayrıca Meta’ya ait mesajlaşma platformu tarafından yamalanan bir tamsayı taşma hatasıdır; bu, bir işlemin sonucu ayrılan bellek alanı içinde değeri depolamak için çok küçük olduğunda meydana gelen ters bir hata kategorisine işaret eder.
CVE tanımlayıcısı CVE-2022-27492 (CVSS puanı: 7.8) göz önüne alındığında, yüksek önem düzeyi sorunu, Android için WhatsApp’ı 2.22.16.2 sürümlerinden önce ve iOS için WhatsApp 2.22.15.9 sürümünü etkiler ve özel olarak hazırlanmış bir kimlik alındığında tetiklenebilir. video dosyası.
Tamsayı taşmalarından ve taşmalarından yararlanmak, istenmeyen davranışlara neden olarak beklenmeyen çökmelere, bellek bozulmasına ve kod yürütülmesine neden olmak için bir basamaktır.
WhatsApp güvenlik açıkları hakkında daha fazla ayrıntı paylaşmadı, ancak siber güvenlik firması Malwarebytes, bunların bir saldırganın uygulamanın kontrolünü ele geçirmesine izin verebilecek Görüntülü Arama İşleyici ve Video Dosya İşleyici adlı iki bileşende bulunduğunu söyledi.
WhatsApp’taki güvenlik açıkları, güvenliği ihlal edilmiş cihazlara kötü amaçlı yazılım yerleştirmek isteyen tehdit aktörleri için kazançlı bir saldırı vektörü olabilir. 2019’da İsrailli casus yazılım üreticisi NSO Group tarafından Pegasus casus yazılımını enjekte etmek için bir sesli arama kusurundan yararlanıldı.