Vulnérabilités dans WhatsApp : un simple appel vidéo pour exécuter du code à distance !
Les développeurs de WhatsApp ont corrigé deux failles de sécurité dans l'application mobile pour Android et iOS et elles sont particulièrement redoutables : un appel vidéo ou un fichier vidéo envoyé par WhatsApp peut permettre d'exécuter du code à distance sur votre appareil ! Faisons le point.
Les deux vulnérabilités qui font l'objet de cet article sont associées aux références CVE suivantes : CVE-2022-36934 et CVE-2022-27492.
WhatsApp - CVE-2022-36934
Commençons par parler de la vulnérabilité CVE-2022-36934, qui est une faille de sécurité critique avec un score CVSS de 9.8 sur 10 ! Dans le bulletin de sécurité mis en ligne par WhatsApp, on peut lire qu'elle concerne toutes les versions de WhatsApp sur Android avant la version 2.22.16.12, Business for Android avant la v2.22.16.12, iOS avant la v2.22.16.12 et Business for iOS avant la v2.22.16.12. Cette vulnérabilité liée à un bug de sécurité de type integer overflow.
Toujours d'après le bulletin de sécurité, un simple appel vidéo peut permettre à l'attaquant de réaliser une exécution de code à distance sur votre appareil !
WhatsApp - CVE-2022-27492
La seconde vulnérabilité, à savoir la CVE-2022-27492, est associée à un score CVSS de 7.8 sur 10. Elle affecte aussi toutes les versions de WhatsApp sur Android avant la version 2.22.16.12, tandis que sur iOS, elle affecte toutes les versions avant la v2.22.15.9. Cette vulnérabilité liée à un bug de sécurité de type integer underflow.
Un peu dans le même esprit que la vulnérabilité précédente, cette fois-ci, c'est un fichier vidéo spécialement conçu et envoyé à un utilisateur cible qui peut permettre d'exécuter du code à distance en cas de lecture du fichier.
Bien entendu, il est recommandé aux utilisateurs de WhatsApp d'effectuer la mise à jour vers la version v2.22.16.12 sans attendre afin de se protéger contre ces deux failles de sécurité. De son côté, WhatsApp précise que rien n'indique que l'une des failles corrigées dans cette mise à jour ait été exploitée à des fins malveillantes dans le cadre d'attaques. Maintenant, que l'on commence à parler de ces vulnérabilités, cela pourrait se produire par la suite...
PS : Méfiez-vous des appels vidéo avec des anonymes, ainsi que des fichiers de sources inconnues.... 😉