En pro de reforzar la seguridad de la aplicación, WhatsApp ha lanzado actualizaciones con el fin de abordar los temas de seguridad referentes a dos fallos de seguridad recientes en la app para iOS y Android que corren el riesgo de sufrir un ataque remoto por parte de ciberdelincuentes.

Uno de ellos se refiere a la CVE-2022-36934 (puntuación CVSS: 9,8), una vulnerabilidad crítica de desbordamiento de enteros en WhatsApp que da lugar a la ejecución de código arbitrario simplemente al establecer una videollamada.

El problema afecta a las versiones de WhatsApp y WhatsApp Business para Android e iOS anteriores a la 2.22.16.12.

La plataforma de mensajería, propiedad de Meta, también ha parcheado un fallo de desbordamiento de enteros, que se refiere a una categoría opuesta de errores que se producen cuando el resultado de una operación es demasiado pequeño para almacenar el valor dentro del espacio de memoria asignado.

El problema de alta gravedad, con el identificador CVE-2022-27492 (puntuación CVSS: 7,8), afecta a WhatsApp para Android antes de las versiones 2.22.16.2 y a WhatsApp para iOS versión 2.22.15.9 y podría activarse al recibir un archivo de vídeo especialmente diseñado.

El aprovechamiento de los desbordamientos y subdesbordamientos de enteros es un paso más para inducir comportamientos no deseados, causando caídas inesperadas, corrupción de memoria y ejecución de código.

WhatsApp no compartió más detalles sobre las vulnerabilidades, pero la empresa de ciberseguridad Malwarebytes dijo que residen en dos componentes llamados Video Call Handler y Video File Handler, que podrían permitir a un atacante tomar el control de la aplicación.

Las vulnerabilidades en WhatsApp pueden ser un vector de ataque lucrativo para los actores de amenazas que buscan plantar software malicioso en dispositivos comprometidos. En 2019, un fallo en las llamadas de audio fue explotado por el fabricante israelí de software espía NSO Group para inyectar el software espía Pegasus.