Vulnerabilitats en WhatsApp permeten compromís del dispositiu en rebre determinats vídeos o videotrucades

Introducció

WhatsApp ha publicat dues vulnerabilitats de criticitats alta i crítica, respectivament. Aquestes vulnerabilitats poden permetre l’execució remota de codi a dispositius no actualitzats en rebre contingut especialment alterat.

Anàlisi

Les versions no actualitzades de WhatsApp i Business, tant per a Android com per a iOS, tenen un problema de desbordament de nombres enters (integer overflow) que, en establir una videotrucada especialment manipulada per l’atacant, pot resultar en execució remota de codi (RCE). Aquesta vulnerabilitat ha rebut l’identificador CVE-2022-36934 i una puntuació CVSS de 9,8.

Les versions no actualitzades de WhatsApp, tant per a Android com per a iOS, tenen un problema de desbordament negatiu de nombres enters (integer underflow) que, en rebre un vídeo especialment manipulat per l’atacant, pot resultar en execució remota de codi (RCE). Aquesta vulnerabilitat ha rebut l‟identificador CVE-2022-27492 i una puntuació CVSS de 7,8.

Recursos afectats

En el cas de la vulnerabilitat per l’establiment d’una videotrucada (CVE-2022-36934), les versions vulnerables són:

         – WhatsApp per a Android anterior a la versió v2.22.16.12

         – Business per a Android anterior a la v2.22.16.12

         – WhatsApp per a iOS anterior a la versió v2.22.16.12

         – Business per a iOS anterior a la v2.22.16.12

En el cas de la vulnerabilitat per l’enviament d’un vídeo maliciós (CVE-2022-27492), les versions vulnerables són:

         – WhatsApp per a Android anterior a la v2.22.16.2

         – WhatsApp per a iOS v2.22.15.9

Recomanacions

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-36934

[2] https://nvd.nist.gov/vuln/detail/CVE-2022-27492

[3] https://derechodelared.com/whatsapp-vulnerabilidad/