AUG 30, 2025RAVIE LAKSHMANZERO-DAY / Vulnerabilidad WhatsApp ha abordado una vulnerabilidad de seguridad en sus aplicaciones de mensajería para Apple iOS y macOS que, según dijo, puede haber sido explotado en la naturaleza junto con un defecto de Apple recientemente revelado en ataques de día cero dirigidos. La vulnerabilidad, CVE-2025-55177 (puntaje CVSS: 8.0), se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. Los investigadores internos en el equipo de seguridad de WhatsApp han sido acreditados por descubrir y volver a hacer el error. La compañía propiedad de Meta dijo que el problema «podría haber permitido que un usuario no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo». El defecto afecta las siguientes versiones: WhatsApp para iOS antes de la versión 2.25.21.73 WhatsApp Business para iOS Versión 2.25.21.78, y WhatsApp para Mac Versión 2.25.21.78 también evaluó que la deficiencia puede haber sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOs, como un ataques específicos de un shatications. CVE-2025-43300 fue revelado por Apple la semana pasada la semana pasada como haber sido armado en un «ataque extremadamente sofisticado contra individuos específicos específicos». La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de los límites en el marco ImageIO que podría resultar en la corrupción de la memoria al procesar una imagen maliciosa. Donncha ó Cearbhaill, jefe del laboratorio de seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que creen que fueron atacados por una campaña de spyware avanzada en los últimos 90 días utilizando CVE-2025-55177. En la alerta enviada a las personas específicas, WhatsApp también ha recomendado realizar un reinicio de fábrica de dispositivos completo y mantener su sistema operativo y la aplicación WhatsApp actualizada para una protección óptima. Actualmente no se sabe quién, o qué proveedor de spyware, está detrás de los ataques. Ó Cearbhaill describió el par de vulnerabilidades como un ataque de «clic cero», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo. «Las primeras indicaciones son que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a Android, a los individuos de la sociedad civil entre ellos», dijo Ó Cearbhaill. «El spyware del gobierno continúa representando una amenaza para los periodistas y los defensores de los derechos humanos».