WhatsApp ha abordado una vulnerabilidad de seguridad en sus aplicaciones de mensajería para Apple iOS y macOS que, según dice, podría haber sido explotada en conjunto con una falla de Apple revelada recientemente en ataques de día cero dirigidos.

La vulnerabilidad, CVE-2025-55177 (puntuación CVSS: 8.0 [CISA-ADP]/5.4 [Facebook]), se relaciona con un caso de autorización insuficiente de los mensajes de sincronización de dispositivos vinculados. Investigadores internos del equipo de seguridad de WhatsApp han sido responsables del descubrimiento y la reclasificación del error.

La empresa propiedad de Meta dijo que el problema "podría haber permitido que un usuario no relacionado activara el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo".

La falla afecta a las siguientes versiones:

• WhatsApp para iOS anterior a la versión 2.25.21.73 (parcheado el 28 de julio de 2025)

• WhatsApp Business para iOS versión 2.25.21.78 (parcheado el 4 de agosto de 2025) y

• WhatsApp para Mac versión 2.25.21.78 (actualizada el 4 de agosto de 2025)

También se evaluó que la deficiencia podría haber estado vinculada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPadOS y macOS, como parte de un ataque sofisticado contra usuarios específicos.

La semana pasada, Apple reveló que CVE-2025-43300 había sido utilizado como arma en un "ataque extremadamente sofisticado contra individuos específicos".

La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de límites en el marco ImageIO que podría provocar corrupción en la memoria al procesar una imagen maliciosa.

Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que cree que fueron blanco de una campaña de software espía avanzado en los últimos 90 días utilizando CVE-2025-55177.

En la alerta enviada a las personas afectadas, WhatsApp también recomendó restablecer completamente la configuración de fábrica del dispositivo y mantener actualizados el sistema operativo y la app de WhatsApp para una protección óptima. Actualmente se desconoce quién o qué proveedor de spyware está detrás de los ataques.

Ó Cearbhaill describió el par de vulnerabilidades como un ataque de "clic cero", lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo.

"Los primeros indicios apuntan a que el ataque a WhatsApp está afectando tanto a usuarios de iPhone como de Android, entre ellos a la sociedad civil", declaró Ó Cearbhaill . "El software espía gubernamental sigue representando una amenaza para periodistas y defensores de los derechos humanos".

Actualización

En una declaración compartida con The Hacker News, WhatsApp dijo que envió notificaciones de amenazas en la aplicación a menos de 200 usuarios que podrían haber sido el objetivo de la campaña.

Fuente: https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html