Si vous utilisez les applications WhatsApp ou WhatsApp Business sur Android ou iOS, ceci vous concerne. Sur son site web, le service de messagerie indique avoir corrigé deux failles de sécurité (de type dépassement d’entier, ou integer overflow).
La première (CVE-2022-36934) concerne les applications WhatsApp pour Android avant la version v2.22.16.12, WhatsApp Business pour Android avant la version v2.22.16.12, WhatsApp pour iOS avant la version v2.22.16.12 et WhatsApp Business pour iOS avant la version v2.22.16.12. Celle-ci, selon les explications du service de messagerie, peut conduire à une exécution de code à distance, lors d’un appel vidéo.
Quant à la seconde faille (CVE-2022-27492), celle-ci ne concerne que les applications WhatsApp sur Android et iOS, mais pas les apps “Business” du service de messagerie. Plus exactement, elle concerne WhatsApp pour Android avant la version v2.22.16.2, et WhatsApp pour iOS avant la version v2.22.15.9. Cette seconde faille peut conduire à une exécution de code à distance après réception d’un fichier vidéo.
Une faille critique et une autre faille de sévérité élevée
Dans son analyse, Malwarebytes explique que ces failles auraient pu permettre à des hackers d’accéder à distance à l’appareil de la cible. Il est vivement recommandé de mettre à jour WhatsApp immédiatement, en allant sur l’App Store ou le Play Store, afin d’obtenir la dernière version qui contient les correctifs (si la mise à jour ne s’est pas faite automatiquement).
La bonne nouvelle, c’est qu’il est probable que ces failles n’aient pas encore été exploitées, puisque celles-ci ont été découvertes en interne par WhatsApp (souvent, la découverte des failles est faite par des tiers, surtout lorsqu’il s’agit d’une faille déjà exploitée). Et le service de messagerie indique qu’il n’y a, pour le moment, aucune preuve d’exploitation de ces failles par des acteurs malveillants.
Mais étant donné la sévérité de ces failles, il est tout de même recommandé de mettre à jour WhatsApp le plus vite possible.
La base de données du gouvernement américain estime que la faille CVE-2022-36934 est une faille critique. Celle-ci affiche une note de sévérité de 9,8/10 sur cette faille. Quant à la seconde, elle a une note de sévérité de 7,8/10, ce qui est aussi élevé.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.