В мессенджере WhatsApp исправлены две серьезные уязвимости, которые можно было использовать для удаленного выполнения произвольного кода. Баги затрагивали как WhatsApp для Android, так и для iOS.
На сайте мессенджера появился третий за этот год бюллетень безопасности (первые два были выпущены в январе и феврале 2022 года). В нем разработчики информируют пользователей сразу о двух проблемах, влияющих на мобильные версии WhatsApp.
Первая уязвимость, получившая идентификатор CVE-2022-36934, оценивается как критическая (9,8 балла из 10 возможных по шкале CVSS) и связана с целочисленным переполнением. Проблема затрагивала WhatsApp для Android (вплоть до версии 2.22.16.12), Business-версию приложения для Android (до версии 2.22.16.12), а также WhatsApp для iOS (до версии 2.22.16.12) и Business-вариант мессенджера для iOS (до версии 2.22.16.12).
По информации разработчиков, злоумышленник мог использовать эту уязвимость для удаленного выполнения кода во время видеозвонка.
Вторая проблема, имеющая идентификатор CVE-2022-27492 (7,8 балла из 10 возможных по шкале CVSS), связана с целочисленной потерей значимости. Эту проблему тоже можно использовать для удаленного выполнения кода, но на этот раз злоумышленник должен отправить жертве специально подготовленный видеофайл. Баг исправлен в WhatsApp для Android и iOS с выпуском версий 2.22.16.2 и 2.22.15.9.
По информации специалистов из компании Malwarebytes, проблема CVE-2022-36934 влияет на компонент Video Call Handler, а CVE-2022-27492 — на компонент Video File Handler.
Судя по всему, уязвимости были обнаружены самими разработчиками, внутри компании, и в настоящее время нет никаких признаков того, что они уже использовались хакерами.
