关键的Whatsapp缺陷可能导致攻击者远程破解设备

WhatsApp发布了安全更新，用来解决Android和iOS消息传递应用程序中可能导致设备被远程代码攻击的两个缺陷。

其中之一是Whats App中的一个关键整数溢出漏洞CVE – 2022 – 36934 ( CVSS评分: 9.8分)，该漏洞仅通过建立视频通话即可执行任意代码。

该问题影响了2.22 . 16.12版本之前的WhatsApp和WhatsApp Business for Android和iOS。

此外，由Meta拥有的消息传递平台修补的是一个整数下溢bug，它指的是当操作的结果太小而无法在分配的内存空间中存储值时发生的相反类别的错误。

考虑到CVE标识符CVE – 2022 – 27492 ( CVSS评分: 7.8分)，严重问题会影响2.22 . 16.2版本之前的WhatsApp for Android和2.22 . 15.9版本的WhatsApp for iOS，并可能在收到巧尽心思构建的视频文件时触发。

WhatsApp没有透露更多关于漏洞的细节，但网络安全公司Malwarebytes说，他们居住在两个组件中，名为”视频电话处理程序”和”视频文件处理程序”，这可能使攻击者能够控制应用程序。

WhatsApp上的漏洞可以成为威胁行为者在受损设备上植入恶意软件的有利可图的攻击向量。2019年，以色列间谍软件制造商国家统计局集团( NSO Group )利用音频通话缺陷为飞马间谍软件注入了漏洞。