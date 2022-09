WhatsApp waarschuwt de ongeveer twee miljard actieve gebruikers die het heeft voor twee kritieke kwetsbaarheden waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. Beide beveiligingslekken zijn inmiddels verholpen. De eerste kwetsbaarheid (CVE-2022-36934) betreft een integer overflow en kan zich voordoen bij een videogesprek, waardoor vervolgens remote code execution mogelijk is.

Het tweede beveiligingslek (CVE-2022-27492) is een integer underflow en leidt ook tot het remote uitvoeren van code, alleen dan bij het openen van een speciaal geprepareerd videobestand. Verdere details over beide kwetsbaarheden zijn niet gegeven, behalve dat die zijn verholpen in WhatsApp Android versie 2.22.16.12, WhatsApp Business for Android versie 2.22.16.12, WhatsApp iOS versie 2.22.16.12 en WhatsApp Business for iOS versie 2.22.16.12.

Voor zover bekend wordt er geen misbruik van de kwetsbaarheden gemaakt. In 2019 liet toenmalig moederbedrijf Facebook nog weten dat zeker 1400 WhatsApp-gebruikers via een kritieke kwetsbaarheid in de chat-app met de Pegasus-spyware besmet waren geraakt. Zerodium, een bedrijf dat beveiligingslekken van onderzoekers inkoopt, betaalt bedragen van 1 miljoen en 1,5 miljoen dollar voor kwetsbaarheden die remote code execution mogelijk maken.