Vulnerabilidades en WhatsApp permiten compromiso del dispositivo al recibir ciertos vídeos o videollamadas

Introducción

WhatsApp ha publicado dos vulnerabilidades de criticidades alta y crítica, respectivamente. Estas vulnerabilidades pueden permitir la ejecución remota de código en dispositivos no actualizados al recibir contenido especialmente alterado.

Análisis

Las versiones no actualizadas de WhatsApp y Business, tanto para Android como para iOS, tienen un problema de desbordamiento de números enteros (integer overflow) que, al establecer una videollamada especialmente manipulada por el atacante, puede resultar en ejecución remota de código (RCE). Esta vulnerabilidad ha recibido el identificador CVE-2022-36934 y una puntuación CVSS de 9,8.

Las versiones no actualizadas de WhatsApp, tanto para Android como para iOS, tienen un problema de desbordamiento negativo de números enteros (integer underflow) que, al recibir un vídeo especialmente manipulado por el atacante, puede resultar en ejecución remota de código (RCE). Esta vulnerabilidad ha recibido el identificador CVE-2022-27492 y una puntuación CVSS de 7,8.

Recursos afectados

En el caso de la vulnerabilidad ante una videollamada (CVE-2022-36934), las versiones vulnerables son:

        – WhatsApp para Android anterior a la versión v2.22.16.12

        – Business para Android anterior a la v2.22.16.12

        – WhatsApp para iOS anterior a la versión v2.22.16.12

        – Business para iOS anterior a la v2.22.16.12

En el caso de la vulnerabilidad ante el envío de un video malicioso (CVE-2022-27492), las versiones vulnerables son:

        – WhatsApp para Android anterior a la v2.22.16.2

        – WhatsApp para iOS v2.22.15.9

Recomendaciones

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-36934

[2] https://nvd.nist.gov/vuln/detail/CVE-2022-27492

[3] https://derechodelared.com/whatsapp-vulnerabilidad/