Разработчики WhatsApp предупредили пользователей Windows о необходимости как можно скорее обновить мессенджер до последней версии. В этом обновлении устранена уязвимость, позволявшая злоумышленникам выполнять вредоносный код.
Уязвимость получила идентификатор CVE-2025-30401 и связана со спуфингом. То есть злоумышленник мог воспользоваться проблемой, отправляя потенциальным жертвам вредоносные файлы с измененными типами. Проблема затрагивала все версии WhatsApp для Windows и была устранена с выходом версии 2.2450.6.
«Проблема спуфинга в WhatsApp для Windows присутствовала до версии 2.2450.6 и была связана с тем, что вложения отображались в соответствии с их MIME-типом, но обработчик для открытия файла выбирался на основе расширения имени файла, — объясняют разработчики. — Злоумышленник мог специально подделать файл таким образом, чтобы несовпадение приводило к тому, что при открытии вложения вручную в WhatsApp получатель мог случайно выполнить произвольный код вместо просмотра содержимого».
По данным компании, проблему обнаружил сторонний исследователь, который сообщил о ней в рамках программы bug bounty.
Разработчики не уточняют, применялась ли уязвимость CVE-2025-30401 в реальных атаках.
Стоит отметить, что летом 2024 года в WhatsApp уже патчили похожую проблему, благодаря которой Python- и PHP-скрипты могли выполняться без предупреждения, если получатели открывали их на устройствах под управлением Windows с установленным Python.
