WhatsApp揭示了舊應(yīng)用程序版本中的關(guān)鍵漏洞

Meta的即時消息和呼叫服務(wù)WhatsApp已經(jīng)發(fā)布了一個“嚴(yán)重”漏洞的詳細(xì)信息，該漏洞已在較新版本的應(yīng)用程序中得到修補(bǔ)，但仍可能影響尚未更新的舊安裝版本。

有關(guān)該漏洞的詳細(xì)信息在WhatsApp9月更新的有關(guān)影響該應(yīng)用程序的安全建議的頁面中披露，并于9月23日曝光。

WhatsApp在更新中分享了與漏洞CVE-2022-36934相關(guān)的詳細(xì)問題，根據(jù)該漏洞，“在v2.22.16.12之前的Android版，在v2.22.16.12之前的Android業(yè)務(wù)，v2.22.16.12之前的iOS，在v2.22.16.12之前的iOS業(yè)務(wù)中的整數(shù)溢出可能導(dǎo)致在已建立的視頻通話中遠(yuǎn)程執(zhí)行代碼。

根據(jù)細(xì)節(jié)，該錯誤將允許攻擊者利用整數(shù)溢出，之后他們可以通過特制的視頻呼叫在受害者的智能手機(jī)上執(zhí)行自己的代碼。

已在 CVE 量表上為此漏洞的嚴(yán)重性評分為 9.8 分(滿分 10 分)。

在同一安全通報(bào)更新中，WhatsApp還解釋了另一個漏洞CVE-2022-27492。根據(jù)這家社交媒體公司的說法，“在v2.22.16.2之前，適用于Android的WhatsApp的整數(shù)下溢，iOS v2.22.15.9版的WhatsApp可能會在接收精心制作的視頻文件時導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

也就是說，該錯誤將允許攻擊者使用惡意視頻文件在受害者的智能手機(jī)上執(zhí)行代碼。該漏洞的得分為 7.8 分(滿分 10 分)。

一位消息人士周四告訴路透社，在與印度相關(guān)的社交媒體平臺開發(fā)中，WhatsApp印度支付業(yè)務(wù)負(fù)責(zé)人Manesh Mahatme在一年多后退出了Meta Platforms擁有的公司，加入了亞馬遜印度。

Mahatme的退出正值WhatsApp的關(guān)鍵時刻，該應(yīng)用程序正在尋求在競爭激烈的市場中加強(qiáng)其支付服務(wù)，并與Alphabet的Google Pay，螞蟻集團(tuán)支持的Paytm和沃爾瑪?shù)腜honePe等更成熟的參與者保持聯(lián)系。