En pro de reforzar la seguridad de la aplicación, WhatsApp ha lanzado actualizaciones con el fin de abordar los temas de seguridad referentes a dos fallos de seguridad recientes en la app para iOS y Android que corren el riesgo de sufrir un ataque remoto por parte de ciberdelincuentes.
Uno de ellos se refiere a la CVE-2022-36934 (puntuación CVSS: 9,8), una vulnerabilidad crÃtica de desbordamiento de enteros en WhatsApp que da lugar a la ejecución de código arbitrario simplemente al establecer una videollamada.
El problema afecta a las versiones de WhatsApp y WhatsApp Business para Android e iOS anteriores a la 2.22.16.12.
La plataforma de mensajerÃa, propiedad de Meta, también ha parcheado un fallo de desbordamiento de enteros, que se refiere a una categorÃa opuesta de errores que se producen cuando el resultado de una operación es demasiado pequeño para almacenar el valor dentro del espacio de memoria asignado.
El problema de alta gravedad, con el identificador CVE-2022-27492 (puntuación CVSS: 7,8), afecta a WhatsApp para Android antes de las versiones 2.22.16.2 y a WhatsApp para iOS versión 2.22.15.9 y podrÃa activarse al recibir un archivo de vÃdeo especialmente diseñado.
El aprovechamiento de los desbordamientos y subdesbordamientos de enteros es un paso más para inducir comportamientos no deseados, causando caÃdas inesperadas, corrupción de memoria y ejecución de código.
WhatsApp no compartió más detalles sobre las vulnerabilidades, pero la empresa de ciberseguridad Malwarebytes dijo que residen en dos componentes llamados Video Call Handler y Video File Handler, que podrÃan permitir a un atacante tomar el control de la aplicación.
Las vulnerabilidades en WhatsApp pueden ser un vector de ataque lucrativo para los actores de amenazas que buscan plantar software malicioso en dispositivos comprometidos. En 2019, un fallo en las llamadas de audio fue explotado por el fabricante israelà de software espÃa NSO Group para inyectar el software espÃa Pegasus.