WhatsApp устранила уязвимость безопасности в своих приложениях для Apple iOS и macOS, которая, могла быть эксплуатирована в реальных условиях в сочетании с недавно раскрытой уязвимостью Apple в целевых атаках нулевого дня.
Уязвимость, CVE-2025-55177 (CVSS: 8.0 [CISA-ADP]/5.4 [Facebook]), связана с недостаточной авторизацией сообщений синхронизации связанных устройств. Внутренние исследователи команды безопасности WhatsApp получили заслуги за обнаружение и переоценку бага.
Компания, принадлежащая Meta, заявила, что проблема "могла позволить не связанному пользователю инициировать обработку содержимого с произвольного URL на устройстве цели."
Уязвимость затрагивает следующие версии:
CVE-2025-43300 была раскрыта Apple на прошлой неделе как использованная в "экстремально сложной атаке против конкретных целевых лиц."
Уязвимость представляет собой ошибку записи за пределы допустимого диапазона в фреймворке ImageIO, что может привести к повреждению памяти при обработке вредоносного изображения.
Доннча О'Кербайл, глава Лаборатории безопасности Amnesty International, сообщил, что WhatsApp уведомила неопределенное количество лиц, которых, по их мнению, в последние 90 дней атаковали с использованием CVE-2025-55177 в рамках продвинутой кампании по шпионажу.
В уведомлении, отправленном целевым лицам, WhatsApp также рекомендовала выполнить полную переустановку устройства до заводских настроек и поддерживать операционную систему и приложение WhatsApp в актуальном состоянии для обеспечения оптимальной защиты. Пока неизвестно, кто или какой поставщик шпионского ПО стоит за атаками.
О'Кербайл описал пару уязвимостей как "атаку нулевого клика", что означает, что для компрометации устройства не требуется никакого взаимодействия пользователя, такого как нажатие на ссылку.
"Первоначальные показатели указывают на то, что атака на WhatsApp затрагивает как пользователей iPhone, так и Android, включая представителей гражданского общества," - сказал О'Кербайл. "Правительственное шпионское ПО продолжает представлять угрозу для журналистов и защитников прав человека."
Обновление#
В заявлении, предоставленном The Hacker News, WhatsApp сообщила, что отправила уведомления о угрозах менее чем 200 пользователям, которые, возможно, были целями кампании.
(История была обновлена после публикации для уточнения, что исправления для уязвимости были выпущены в конце июля/августа 2025 года.)
- Source: https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html
Уязвимость, CVE-2025-55177 (CVSS: 8.0 [CISA-ADP]/5.4 [Facebook]), связана с недостаточной авторизацией сообщений синхронизации связанных устройств. Внутренние исследователи команды безопасности WhatsApp получили заслуги за обнаружение и переоценку бага.
Компания, принадлежащая Meta, заявила, что проблема "могла позволить не связанному пользователю инициировать обработку содержимого с произвольного URL на устройстве цели."
Уязвимость затрагивает следующие версии:
- WhatsApp для iOS до версии 2.25.21.73 (Исправлено 28 июля 2025 года)
- WhatsApp Business для iOS версии 2.25.21.78 (Исправлено 4 августа 2025 года)
- WhatsApp для Mac версии 2.25.21.78 (Исправлено 4 августа 2025 года)
CVE-2025-43300 была раскрыта Apple на прошлой неделе как использованная в "экстремально сложной атаке против конкретных целевых лиц."
Уязвимость представляет собой ошибку записи за пределы допустимого диапазона в фреймворке ImageIO, что может привести к повреждению памяти при обработке вредоносного изображения.
Доннча О'Кербайл, глава Лаборатории безопасности Amnesty International, сообщил, что WhatsApp уведомила неопределенное количество лиц, которых, по их мнению, в последние 90 дней атаковали с использованием CVE-2025-55177 в рамках продвинутой кампании по шпионажу.
В уведомлении, отправленном целевым лицам, WhatsApp также рекомендовала выполнить полную переустановку устройства до заводских настроек и поддерживать операционную систему и приложение WhatsApp в актуальном состоянии для обеспечения оптимальной защиты. Пока неизвестно, кто или какой поставщик шпионского ПО стоит за атаками.
О'Кербайл описал пару уязвимостей как "атаку нулевого клика", что означает, что для компрометации устройства не требуется никакого взаимодействия пользователя, такого как нажатие на ссылку.
"Первоначальные показатели указывают на то, что атака на WhatsApp затрагивает как пользователей iPhone, так и Android, включая представителей гражданского общества," - сказал О'Кербайл. "Правительственное шпионское ПО продолжает представлять угрозу для журналистов и защитников прав человека."
Обновление#
В заявлении, предоставленном The Hacker News, WhatsApp сообщила, что отправила уведомления о угрозах менее чем 200 пользователям, которые, возможно, были целями кампании.
(История была обновлена после публикации для уточнения, что исправления для уязвимости были выпущены в конце июля/августа 2025 года.)
- Source: https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html