WhatsApp aborda las vulnerabilidades de seguridad en las aplicaciones de mensajería en Apple iOS y Maco, y podría haber sido explotado en la naturaleza junto con las fallas de Apple recientemente reveladas en un ataque de día cero objetivo.
La vulnerabilidad, CVE-2025-55177 (puntaje CVSS: 8.0), está relacionado con la aprobación insuficiente de los mensajes de sincronización de dispositivos vinculados. Se cree que los investigadores internos del equipo de seguridad de WhatsApp descubrieron y evaluaron el error.
La compañía propiedad de Meta dijo que el problema «puede haber permitido a los usuarios no relacionados que activen el procesamiento de contenido desde cualquier URL en el dispositivo de destino».
El defecto afecta la próxima versión –
WhatsApp para la versión 2.25.21.73 en iOS versión 2.25.21.78 WhatsApp Business para iOS Versión 2.25.21.78, y WhatsApp para Mac versión 2.25.21.78
También evaluamos que los defectos podrían haber sido encadenados en CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOS como parte de un ataque sofisticado contra un usuario objetivo en particular.
CVE-2025-43300 fue revelado la semana pasada por Apple como armado por «un ataque muy sofisticado contra un individuo objetivo particular».
La vulnerabilidad en cuestión está fuera de alcance para escribir la vulnerabilidad al marco ImageIO, lo que puede causar corrupción de la memoria al procesar imágenes maliciosas.
Donnaó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que creen que han sido atacadas por campañas avanzadas de spyware en los últimos 90 días utilizando CVE-2025-55177.
En alertas enviadas a personas específicas, WhatsApp también recomienda realizar un reinicio de fábrica de dispositivos completo y mantener actualizado su sistema operativo y WhatsApp para mantenerlo actualizado. Actualmente se desconoce quién o qué proveedor de spyware está detrás del ataque.
Cearbhaill describió el par de vulnerabilidad como un ataque de «Click Cero». Esto significa que no se requiere interacción del usuario, como hacer clic en un enlace o violar un dispositivo.
«Una indicación temprana es que los ataques de WhatsApp están afectando tanto a los usuarios de iPhone como a Android.» El spyware del gobierno continúa representando amenazas para periodistas y defensores de los derechos humanos «.
Source link
