WhatsApp ha abordado una vulnerabilidad de seguridad en sus aplicaciones de mensajería para Apple IOS y MacOS que, según dijo, puede haber sido explotado en la naturaleza junto con una falla de Apple recientemente revelada en ataques de día cero dirigidos.
La vulnerabilidad, CVE-2025-55177 (Puntuación CVSS: 8.0 [CISA-ADP]/5.4 [Facebook]), se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. Los investigadores internos en el equipo de seguridad de WhatsApp han sido acreditados por descubrir y volver a hacer el error.
La empresa propiedad de meta dicho El problema «podría haber permitido que un usuario no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo».
El defecto afecta las siguientes versiones –
- WhatsApp para iOS antes de la versión 2.25.21.73 (parcheado el 28 de julio de 2025)
- Negocio de whatsapp para iOS versión 2.25.21.78 (parcheado el 4 de agosto de 2025), y
- WhatsApp para Mac versión 2.25.21.78 (parcheado el 4 de agosto de 2025)
También evaluó que la deficiencia puede haber sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOS, como parte de un ataque sofisticado contra usuarios específicos específicos.
CVE-2025-43300 fue revelado La semana pasada, de Apple, había sido armada en un «ataque extremadamente sofisticado contra individuos específicos específicos».
La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de los límites en el marco ImageIO que podría resultar en la corrupción de la memoria al procesar una imagen maliciosa.
Donncha ó Cearbhaill, jefe del laboratorio de seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que creen que fueron atacados por una campaña de spyware avanzada en los últimos 90 días utilizando CVE-2025-55177.
En la alerta enviada a las personas específicas, WhatsApp también ha recomendado realizar un reinicio de fábrica de dispositivos completo y mantener su sistema operativo y la aplicación WhatsApp actualizada para una protección óptima. Actualmente no se sabe quién, o qué proveedor de spyware, está detrás de los ataques.
Ó Cearbhaill describió el par de vulnerabilidades como un ataque de «clic cero», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo.
«Las primeras indicaciones son que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a Android, individuos de la sociedad civil entre ellos», Ó Cearbhaill dicho. «El spyware del gobierno continúa representando una amenaza para los periodistas y los defensores de los derechos humanos».
Actualizar
En una declaración compartida con Hacker News, WhatsApp dijo que envió notificaciones de amenaza en la aplicación a menos de 200 usuarios que pueden haber sido atacados como parte de la campaña.
(La historia se actualizó después de la publicación para aclarar que los parches se lanzaron para el defecto a fines de julio/agosto de 2025.)
Fuente