أصدرت WhatsApp تحديثات أمنية لمعالجة عيبين من أخطاء واتساب الحرجة تطبيق المراسلة الخاص به لنظامي التشغيل Android و iOS والذي قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد على الأجهزة الضعيفة.
تتعلق إحداها بـ CVE-2022-36934 (درجة CVSS: 9.8) ، وهي ثغرة أمنية كبيرة للغاية في WhatsApp تؤدي إلى تنفيذ رمز تعسفي ببساطة عن طريق إنشاء مكالمة فيديو.
تؤثر المشكلة على WhatsApp و WhatsApp Business لنظامي Android و iOS قبل الإصدارات 2.22.16.12.
تم تصحيحه أيضًا بواسطة نظام المراسلة المملوك لـ Meta وهو خطأ تحت التدفق الصحيح ، والذي يشير إلى فئة معاكسة من الأخطاء التي تحدث عندما تكون نتيجة العملية صغيرة جدًا لتخزين القيمة داخل مساحة الذاكرة المخصصة.
تؤثر المشكلة الشديدة الخطورة. نظرًا لمعرّف CVE-2022-27492 (درجة CVSS: 7.8). على WhatsApp لنظام Android قبل الإصدار 2.22.16.2 و WhatsApp لنظام التشغيل iOS الإصدار 2.22.15.9. ويمكن تشغيله عند تلقي نسخة معدّة خصيصًا. ملف فيديو.
قراصنة يستخدمون خدعة PowerPoint Mouseover لإصابة النظام ببرامج ضارة
يعد استغلال تدفقات الأعداد الصحيحة والتدفقات السفلية بمثابة نقطة انطلاق نحو إحداث سلوك غير مرغوب فيه. مما يتسبب في حدوث أعطال غير متوقعة وتلف الذاكرة وتنفيذ التعليمات البرمجية.
لم يشارك WhatsApp مزيدًا من التفاصيل حول الثغرات الأمنية. لكن. شركة الأمن السيبراني Malwarebytes قالت إنها تكمن في مكونين يسمى Video Call Handler و Video File Handler. مما قد يسمح للمهاجم بالسيطرة على التطبيق.
قال متحدث باسم WhatsApp لصحيفة The Hacker News “اكتشفنا أخطاء واتساب الحرجة [العيوب] بأنفسنا ولم يكن هناك دليل على الاستغلال”.
يمكن أن تكون الثغرات الأمنية على WhatsApp وسيلة هجوم مربحة للجهات الفاعلة في التهديد الذين يتطلعون إلى زرع برامج ضارة على الأجهزة المخترقة. في عام 2019. استغلت شركة NSO Group الإسرائيلية لتصنيع برامج التجسس لحقن برنامج التجسس Pegasus.