Una de las vulnerabilidades solucionadas, la CVE-2022-36934, podría resultar en la ejecución de código remotamente simplemente al establecer una videollamada. Esto es susceptible de ocurrir en versiones anteriores a la 2.22.16.12.
Otra vulnerabilidad solucionada es la CVE-2022-27492. Ésta afecta a versiones de WhatsApp anteriores a 2.22.16.2 and 2.22.15.9, en Android e iOS, respectively. Dicha vulnerabilidad puede explotarse al recibir un vídeo especialmente modificado, que tiene código ofuscado en su interior.
Dichas vulnerabilidades tienen un denominador común: el uso de la memoria para causar sobrecargas y así ocasionar problemas en el funcionamiento de la aplicación, con un cierre inesperado de la misma, For example.
WhatsApp no ha compartido muchos detalles al respecto, pero la firma de ciberseguridad Malwarebytes afirma que los componentes afectados forman parte de varios módulos de videollamada de la aplicación.
Estas vulnerabilidades pueden ser un vector de ataque muy lucrativo por parte de los cibercriminales. Esto ya ocurrió en 2019, cuando una vulnerabilidad en el sistema de llamadas permitió instalar el software espía Pegasus.
Es importante mantener actualizados los sistemas y aplicaciones, ya que en su mayoría sirven para implementar mejoras y nuevas protecciones ante posibles vulnerabilidades.
Fountain: The Hacker News
