Uygulamanın yeni sürümlerinde yamalanan hata, saldırganın özel olarak hazırladığı bir görüntülü arama gönderdikten sonra kötü amaçlı kod yürütmesine izin veriyor.
WhatsApp, uygulamanın yeni bir sürümlerinde yamalanan ancak eski sürümleri etkileyebilecek kritik bir güvenlik açığının ayrıntılarını yayımladı.
Ayrıntılar, WhatsApp’ın uygulamayı etkileyen güvenlik uyarıları sayfasının Eylül güncellemesinde açıklandı ve 23 Eylül’de gün ışığına çıktı.
Kritik hata sayesinde saldırgan kod hatasından yararlanıyor ve özel olarak hazırlanmış bir görüntülü arama gönderdikten sonra kurbanının telefonunda kendi kodunu yürütmesini mümkün kılıyor.
Yakın zamanda açıklanan güvenlik açığına ulusal güvenlik açığı veri tabanında CVE-2022-36934 kimlik numarası atanmış ve CVE ölçeğinde 10 üzerinden 9,8 önem puanı verilmiş. Bu, mümkün olan en yüksek tehdit düzeyi olan “kritik” seviyesinde.
Aynı güvenlik güncellemesinde WhatsApp, saldırganların kötü amaçlı bir video dosyası gönderdikten sonra kod yürütmesine izin verecek başka bir güvenlik açığı olan CVE-2022-27492’nin ayrıntılarını da paylaştı. Bu güvenlik açığı 10 üzerinden 7,8 alarak “yüksek” olarak değerlendirildi.
Bu güvenlik açıkları WhatsApp’ın yakın zamanda güncellenen sürümlerinde yamalandı. Güvenlik danışma belgesine göre etkilenen sürümler ise:
- v2.22.16.12 öncesi Android için WhatsApp
- v2.22.16.12 öncesi Android için WhatsApp Business
- v2.22.16.12 öncesi iOS için WhatsApp
- v2.22.16.12 öncesi iOS için WhatsApp Business