WhatsApp a publié mises à jour de sécurité pour corriger deux failles dans son application de messagerie pour Android et iOS qui pourraient conduire à l’exécution de code à distance sur des appareils vulnérables.
L’un d’eux concerne CVE-2022-36934 (score CVSS : 9,8), une vulnérabilité critique de débordement d’entier dans WhatsApp qui entraîne l’exécution de code arbitraire simplement en établissant un appel vidéo.
Le problème affecte WhatsApp et WhatsApp Business pour Android et iOS avant les versions 2.22.16.12.
La plate-forme de messagerie appartenant à Meta a également corrigé un bogue de sous-dépassement d’entier, qui fait référence à une catégorie opposée d’erreurs qui se produisent lorsque le résultat d’une opération est trop petit pour stocker la valeur dans l’espace mémoire alloué.
Le problème de haute gravité, compte tenu de l’identifiant CVE CVE-2022-27492 (score CVSS : 7,8), affecte WhatsApp pour Android avant les versions 2.22.16.2 et WhatsApp pour iOS version 2.22.15.9, et peut être déclenché lors de la réception d’un fichier vidéo spécialement conçu.
Exploitant débordements d’entiers et débordements sont un tremplin pour induire un comportement indésirable, provoquant des plantages inattendus, une corruption de la mémoire et l’exécution de code.
WhatsApp n’a pas partagé plus de détails sur les vulnérabilités, mais la société de cybersécurité Malwarebytes a dit qu’ils résident dans deux composants appelés gestionnaire d’appels vidéo et gestionnaire de fichiers vidéo, ce qui pourrait permettre à un attaquant de prendre le contrôle de l’application.
Les vulnérabilités sur WhatsApp peuvent être un vecteur d’attaque lucratif pour les acteurs de la menace qui cherchent à implanter des logiciels malveillants sur des appareils compromis. En 2019, un défaut d’appel audio a été exploité par le fabricant israélien de logiciels espions NSO Group pour injecter le logiciel espion Pegasus.