WhatsApp a corrigé une faille de sécurité majeure qui permettait aux pirates d’exécuter à distance du code malveillant sur les terminaux cibles.
Comme expliqué dans son avis de sécurité officiel, la faille est une vulnérabilité de débordement d’entier, découverte dans WhatsApp pour Android (s’ouvre dans un nouvel onglet) avant la v2.22.16.12, Business pour Android avant la v2.22.16.12, iOS avant la v2.22.16.12 et Business pour iOS avant la v2.22.16.12.
La vulnérabilité est désormais suivie sous le nom de CVE-2022-36934 et porte un score de vulnérabilité de 9,8, la plaçant dans le territoire « critique ».
Mises à jour importantes
Comme expliqué par Le bord, la faille permet aux acteurs de la menace d’exécuter un code malveillant sur l’appareil cible, à distance, en envoyant un appel vidéo spécialement conçu. Le code malveillant pourrait entraîner l’installation de toutes sortes de logiciels malveillants sur l’appareil ou le vol de données et d’identités sensibles.
Les utilisateurs dont les applications mobiles ne se mettent pas à jour automatiquement sont invités à effectuer la mise à jour manuellement dès que possible.
Dans le cadre de la même mise à jour, WhatsApp a corrigé une autre faille, similaire dans son potentiel et sa méthode d’exécution. Suivi sous le nom de CVE-2022-27492, il permettrait aux pirates d’exécuter du code malveillant en envoyant un fichier vidéo spécialement conçu. Contrairement au premier défaut, celui-ci a un score de gravité inférieur – 7,8, mais est toujours considéré comme « critique ».
Bien que les mises à niveau de sécurité soient toujours une bonne raison de mettre à jour l’application, WhatsApp a également récemment apporté d’importantes améliorations à la convivialité.
En août 2022, la société a annoncé une nouvelle version de son application Windows, qui ne nécessite plus d’être connectée au smartphone et peut fonctionner de manière totalement autonome.
Auparavant, le client WhatsApp pour Windows 11 (et 10) était un effort basé sur le Web (Electron), mais la nouvelle application – qui est passée de la version bêta à sa version complète, est un client natif, et de plus, elle fonctionne indépendamment de votre smartphone.
Via : The Verge (s’ouvre dans un nouvel onglet)