A Meta alertou os usuários do Windows para atualizarem o aplicativo de mensagens WhatsApp para a versão mais recente a fim de corrigir uma vulnerabilidade que pode permitir a execução de códigos maliciosos em seus dispositivos.
Descrita como um problema de spoofing e rastreada como
CVE-2025-30401
, essa falha de segurança pode ser explorada por atacantes enviando arquivos maliciosamente modificados com tipos de arquivo alterados para possíveis alvos.
A Meta afirma que a vulnerabilidade impactou todas as versões do WhatsApp e foi corrigida com o lançamento do WhatsApp 2.2450.6.
"Um problema de spoofing no WhatsApp para Windows, antes da versão 2.2450.6, exibia anexos de acordo com o seu tipo MIME, mas selecionava o manipulador de abertura de arquivo baseado na extensão do nome do arquivo do anexo", o WhatsApp explicou em um comunicado na terça-feira(08).
Um incompatibilidade maliciosamente criada poderia ter feito o destinatário executar código arbitrário inadvertidamente, ao invés de visualizar o anexo ao abrir manualmente o anexo dentro do WhatsApp.
A Meta diz que um pesquisador externo encontrou e relatou a falha por meio de uma submissão Meta Bug Bounty.
A empresa ainda não compartilhou se o
CVE-2025-30401
foi explorado ativamente.
Em julho de 2024, o WhatsApp abordou um problema um pouco semelhante que permitia a execução de anexos Python e PHP sem aviso quando os destinatários os abriam em dispositivos Windows com Python instalado.
Mais recentemente, seguindo relatórios de pesquisadores de segurança do Citizen Lab da Universidade de Toronto, o WhatsApp também corrigiu uma vulnerabilidade de segurança zero-click, zero-day que foi explorada para instalar o spyware Graphite da Paragon.
A empresa disse que o vetor de ataque foi abordado no final do último ano "sem a necessidade de uma correção do lado do cliente" e decidiu contra a atribuição de um CVE-ID após "revisar as diretrizes do CVE publicadas pela MITRE, e [suas] próprias políticas internas."
Em 31 de janeiro, após mitigar o problema de segurança do lado do servidor, o WhatsApp alertou aproximadamente 90 usuários Android de mais de duas dúzias de países, incluindo jornalistas e ativistas italianos que foram alvo de ataques de spyware da Paragon usando o exploit de zero-click.
Em dezembro passado, um juiz federal dos EUA também decidiu que o fabricante israelense de spyware NSO Group usou zero-days do WhatsApp para implantar o spyware Pegasus em pelo menos 1.400 dispositivos, violando assim as leis de hacking dos EUA.
Documentos do tribunal revelaram que a NSO supostamente implantou o spyware Pegasus em ataques de zero-click que exploravam vulnerabilidades do WhatsApp usando múltiplos exploits de zero-day.
Os documentos também disseram que os desenvolvedores da fabricante de spyware fizeram engenharia reversa do código do WhatsApp para criar ferramentas que enviavam mensagens maliciosas instalando spyware, violando leis federais e estaduais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...