WhatsApp abordó recientemente dos vulnerabilidades de seguridad en su aplicación de mensajería para Android e iOS que podrían haberse aprovechado para ejecutar código malicioso de forma remota en el dispositivo.
Calificado como de gravedad crítica (puntuación CVSS: 9,8), CVE-2022-36934 afecta a todas las versiones de Android anteriores a v2.22.16.12, Business para Android anteriores a v2.22.16.12, iOS anteriores a v2.22.16.12, Business para iOS anterior a v2.22.16.12. Esta vulnerabilidad es causada por un desbordamiento de enteros. Al enviar una llamada especialmente diseñada, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema.
“Un desbordamiento de enteros en WhatsApp para Android anterior a v2.22.16.12, Business para Android anterior a v2.22.16.12, iOS anterior a v2.22.16.12, Business para iOS anterior a v2.22.16.12 podría resultar en ejecución de código en una videollamada establecida”, decía el aviso de WhatsApp
Otro error, rastreado como CVE-2022-27492, también es un subdesbordamiento de enteros y afecta a WhatsApp para Android antes de v2.22.16.2 y WhatsApp para iOS v2.22.15.9. Al recibir un archivo de video manipulado, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema.
Se recomienda a los usuarios de WhatsApp que actualicen a la versión v2.22.16.12 para mitigar el riesgo asociado con las vulnerabilidades CVE-2022-36934 y CVE-2022-27492. La compañía dice que no hay indicios de que alguna de las vulnerabilidades reparadas en esta actualización haya sido explotada con fines maliciosos.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.