WhatsApp ha abordado una vulnerabilidad de seguridad en sus aplicaciones de transporte para Apple IOS y MacOS que, según dijo, puede tener sido explotado en la naturaleza conexo con una error de Apple recientemente revelada en ataques de día cero dirigidos.
La vulnerabilidad, CVE-2025-55177 (Puntuación CVSS: 8.0), se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. Los investigadores internos en el equipo de seguridad de WhatsApp han sido acreditados por descubrir y retornar a hacer el error.
La compañía propiedad de Meta dijo que el problema “podría tener permitido que un becario no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo”.
El defecto afecta las siguientes versiones –
- WhatsApp para iOS ayer de la traducción 2.25.21.73
- Negocio de whatsapp para iOS traducción 2.25.21.78, y
- WhatsApp para Mac traducción 2.25.21.78
Igualmente evaluó que la deficiencia puede tener sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOS, como parte de un ataque sofisticado contra usuarios específicos específicos.
CVE-2025-43300 fue revelado por Apple la semana pasada la semana pasada como tener sido armado en un “ataque extremadamente sofisticado contra individuos específicos específicos”.
La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de los límites en el ámbito ImageIO que podría resultar en la corrupción de la memoria al procesar una imagen maliciosa.
Donncha ó Cearbhaill, principal del laboratorio de seguridad de Indulto Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que creen que fueron atacados por una campaña de spyware vanguardia en los últimos 90 días utilizando CVE-2025-55177.
En la alerta enviada a las personas específicas, WhatsApp igualmente ha recomendado realizar un reinicio de industria de dispositivos completo y nutrir su sistema eficaz y la aplicación WhatsApp actualizada para una protección óptima. Actualmente no se sabe quién, o qué proveedor de spyware, está detrás de los ataques.
Ó Cearbhaill describió el par de vulnerabilidades como un ataque de “clic cero”, lo que significa que no requiere ninguna interacción del becario, como hacer clic en un enlace, para comprometer su dispositivo.
“Las primeras indicaciones son que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a Android, a los individuos de la sociedad civil entre ellos”, dijo Ó Cearbhaill. “El spyware del gobierno continúa representando una amenaza para los periodistas y los defensores de los derechos humanos”.
