- 26,512
- 46
- 8 Ноя 2022
Мессенджер не отличал .docx от .exe. И вот чем это обернулось…
WhatsApp закрыл две уязвимости в мессенджере после сообщений через программу баг-баунти Meta*. Обе проблемы получили средний уровень опасности, уже исправлены, а признаков реальной эксплуатации компания не нашла. Пользователям стоит обновить WhatsApp на всех устройствах, особенно на Windows, iOS и Android.
Новый бюллетень безопасности WhatsApp вышел 1 мая. В нём описаны CVE-2026-23863 и CVE-2026-23866. Обе ошибки нашли внешние исследователи через официальную программу поиска уязвимостей, которую WhatsApp ведёт уже 15 лет. Представитель мессенджера сообщил, что исправления выпустили быстро, а следов атак в реальных условиях команда не видит.
Первая уязвимость, CVE-2026-23863, затрагивала WhatsApp для Windows до версии 2.3000.1032164386.258709. Ошибка позволяла подменить тип вложения: злоумышленник мог подготовить документ с NUL-байтами в имени файла. NUL-байт — специальный нулевой символ, который иногда нарушает корректный разбор строк и имён файлов.
Из-за ошибки WhatsApp мог показать вложение как файл одного типа, хотя при открытии запускался исполняемый файл. Для пользователя сценарий выглядел особенно опасным: интерфейс показывал документ, а система могла выполнить программу. WhatsApp сообщил, что устранил эту проблему раньше в 2026 году.
Вторая уязвимость, CVE-2026-23866, касалась WhatsApp для iOS версий 2.25.8.0-2.26.7.22 и WhatsApp для Android версий 2.25.8.0-2.26.7.10. Исправление вышло в апреле. Ошибка находилась в проверке AI-rich response messages для <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Instagram</span> Reels внутри WhatsApp. Проще говоря, мессенджер недостаточно строго проверял расширенные сообщения, связанные с медиаконтентом Reels.
При определённых условиях пользователь мог заставить устройство другого человека обработать медиафайл с произвольного URL. В описании также упоминаются системные обработчики custom URL scheme. Это механизмы операционной системы, которые открывают специальные ссылки в конкретных приложениях или запускают заданное действие. Поэтому риск касался не только загрузки медиа, но и реакции устройства на специально сформированную ссылку.
WhatsApp подчёркивает, что обе уязвимости нашли до массового использования злоумышленниками. Вокруг мессенджеров сейчас хватает реальных угроз: от атак через SMS , которые могут быстро накрутить счёт за сообщения, до фишинговых цепочек и шпионского ПО против пользователей iOS. На этом фоне бюллетень выглядит спокойнее обычных тревожных новостей: исследователи сообщили о баге, компания выпустила патч, следов эксплуатации не обнаружено.
Пользователям стоит проверить обновления WhatsApp в магазинах приложений и в версии для Windows. Особенно важно не откладывать установку патчей тем, кто часто получает документы в мессенджере или открывает медиа из внешних источников. Исправления уже доступны, поэтому уровень защиты зависит от версии приложения на конкретном устройстве
WhatsApp закрыл две уязвимости в мессенджере после сообщений через программу баг-баунти Meta*. Обе проблемы получили средний уровень опасности, уже исправлены, а признаков реальной эксплуатации компания не нашла. Пользователям стоит обновить WhatsApp на всех устройствах, особенно на Windows, iOS и Android.
Новый бюллетень безопасности WhatsApp вышел 1 мая. В нём описаны CVE-2026-23863 и CVE-2026-23866. Обе ошибки нашли внешние исследователи через официальную программу поиска уязвимостей, которую WhatsApp ведёт уже 15 лет. Представитель мессенджера сообщил, что исправления выпустили быстро, а следов атак в реальных условиях команда не видит.
Первая уязвимость, CVE-2026-23863, затрагивала WhatsApp для Windows до версии 2.3000.1032164386.258709. Ошибка позволяла подменить тип вложения: злоумышленник мог подготовить документ с NUL-байтами в имени файла. NUL-байт — специальный нулевой символ, который иногда нарушает корректный разбор строк и имён файлов.
Из-за ошибки WhatsApp мог показать вложение как файл одного типа, хотя при открытии запускался исполняемый файл. Для пользователя сценарий выглядел особенно опасным: интерфейс показывал документ, а система могла выполнить программу. WhatsApp сообщил, что устранил эту проблему раньше в 2026 году.
Вторая уязвимость, CVE-2026-23866, касалась WhatsApp для iOS версий 2.25.8.0-2.26.7.22 и WhatsApp для Android версий 2.25.8.0-2.26.7.10. Исправление вышло в апреле. Ошибка находилась в проверке AI-rich response messages для <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Instagram</span> Reels внутри WhatsApp. Проще говоря, мессенджер недостаточно строго проверял расширенные сообщения, связанные с медиаконтентом Reels.
При определённых условиях пользователь мог заставить устройство другого человека обработать медиафайл с произвольного URL. В описании также упоминаются системные обработчики custom URL scheme. Это механизмы операционной системы, которые открывают специальные ссылки в конкретных приложениях или запускают заданное действие. Поэтому риск касался не только загрузки медиа, но и реакции устройства на специально сформированную ссылку.
WhatsApp подчёркивает, что обе уязвимости нашли до массового использования злоумышленниками. Вокруг мессенджеров сейчас хватает реальных угроз: от атак через SMS , которые могут быстро накрутить счёт за сообщения, до фишинговых цепочек и шпионского ПО против пользователей iOS. На этом фоне бюллетень выглядит спокойнее обычных тревожных новостей: исследователи сообщили о баге, компания выпустила патч, следов эксплуатации не обнаружено.
Пользователям стоит проверить обновления WhatsApp в магазинах приложений и в версии для Windows. Особенно важно не откладывать установку патчей тем, кто часто получает документы в мессенджере или открывает медиа из внешних источников. Исправления уже доступны, поэтому уровень защиты зависит от версии приложения на конкретном устройстве
- Источник новости
- www.securitylab.ru
