WhatsApp sa zaoberal bezpečnostnou zraniteľnosťou vo svojej aplikácii na zasielanie správ pre Apple iOS a macOS, o ktorej uviedol, že mohla byť zneužitá v praxi v spojení s nedávno zverejnenou chybou Apple v cielených útokoch typu zero-day.
Zraniteľnosť, CVE-2025-55177 (CVSS skóre: 8.0 [CISA-ADP] / 5.4 [Facebook]), sa týka prípadu nedostatočného overovania synchronizačných správ pre prepojené zariadenia. Interní výskumníci z bezpečnostného tímu WhatsApp boli ocenení za objavenie a opätovné hodnotenie chyby.
Spoločnosť vlastnená spoločnosťou Meta uviedla, že problém „mohol umožniť nesúvisiacemu používateľovi spustiť spracovanie obsahu z ľubovoľnej URL adresy na zariadení cieľa.“
Chyba ovplyvňuje nasledujúce verzie:
- WhatsApp pre iOS pred verziou 2.25.21.73 (opravené 28. júla 2025)
- WhatsApp Business pre iOS verzie 2.25.21.78 (opravené 4. augusta 2025)
- WhatsApp pre Mac verzie 2.25.21.78 (opravené 4. augusta 2025)
Spoločnosť tiež posúdila, že tento nedostatok mohol byť skombinovaný so zraniteľnosťou CVE-2025-43300, ktorá ovplyvňuje iOS, iPadOS a macOS, ako súčasť sofistikovaného útoku proti konkrétnym cieľovým používateľom.
CVE-2025-43300 bola zverejnená spoločnosťou Apple ako zneužitá v „mimoriadne sofistikovanom útoku proti konkrétnym cieľovým jednotlivcom.“
Dotknutá zraniteľnosť je chyba mimo hraníc zápisu (out-of-bounds write) v rámci ImageIO, ktorá by mohla viesť ku poškodeniu pamäte pri spracovaní škodlivého obrázka.
Ó Cearbhaill, vedúci Bezpečnostného laboratória Amnesty International, uviedol, že WhatsApp upozornil nešpecifikovaný počet jednotlivcov, o ktorých sa domnieva, že boli v posledných 90 dňoch cieľom pokročilej kampane špionážneho softvéru využívajúcej CVE-2025-55177.
V upozornení zaslanom cieľovým jednotlivcom WhatsApp taktiež odporučil vykonať úplné obnovenie zariadenia do továrenských nastavení a udržiavať operačný systém a aplikáciu WhatsApp aktualizované pre optimálnu ochranu. Zatiaľ nie je známe, kto alebo ktorý predajca špionážneho softvéru stojí za týmito útokmi.
Aktualizácia
Vo vyhlásení WhatsApp uviedol, že poslal upozornenia na hrozby v aplikácii menej ako 200 používateľom, ktorí mohli byť cieľom v rámci kampane.
Viac informácií tu:
https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html