Компания WhatsApp выпустила экстренное предупреждение о безопасности, касающееся новой уязвимости нулевого дня, обозначенной как CVE-2025-55177. Данная уязвимость уже использовалась в высокотехнологичных атаках типа "zero-click" (без клика), нацеленных на пользователей устройств Mac и iOS. Проблема, усугубленная наличием ошибки на уровне операционной системы (CVE-2025-43300), вызвала серьезные опасения относительно потенциального компрометирования пользовательских устройств и данных, включая конфиденциальные сообщения.
Детали уязвимости
Согласно расследованию WhatsApp, подробно изложенному в рекомендациях по безопасности, опубликованных в пятницу, уязвимость возникает из-за "неполной авторизации сообщений синхронизации связанных устройств" в WhatsApp для iOS (версии ранее 2.25.21.73), WhatsApp Business для iOS (версии ранее 2.25.21.78) и WhatsApp для Mac (версии ранее 2.25.21.78). Эта брешь позволяла несвязанному пользователю инициировать обработку содержимого с произвольного URL-адреса на устройстве жертвы, обходя необходимость какого-либо взаимодействия с пользователем - отсюда и обозначение "zero-click".
Серьезность ситуации возросла, когда выяснилось, что уязвимость в WhatsApp эксплуатировалась в сочетании с CVE-2025-43300 - ошибкой записи за границами буфера ImageIO от Apple. Ранее Apple уже устранила эту проблему на уровне ОС, подтвердив, что она использовалась в "чрезвычайно сложных атаках против конкретных лиц". Сочетание этих уязвимостей создало мощный вектор для атаки, потенциально ведущий к повреждению памяти и несанкционированному доступу к данным устройства.
Инцидент спровоцировал активное расследование со стороны лаборатории безопасности Amnesty International, которая изучает случаи, связанные с несколькими лицами, подвергшимися targeted в этой кампании. Предварительные данные свидетельствуют о том, что атака через WhatsApp затрагивает как пользователей iPhone, так и Android, причем среди пострадавших - представители гражданского общества, включая журналистов и защитников прав человека. Постоянная угроза государственного шпионского программного обеспечения продолжает подвергать эти группы риску, подчеркивая необходимость надежных защитных мер.
Примечательно, что уязвимость Apple (CVE-2025-43300) находится в базовой библиотеке обработки изображений, что означает возможность ее эксплуатации через другие приложения, помимо WhatsApp. Как отмечают эксперты, "CVE-2025-55177, обход авторизации в WhatsApp на iOS и Mac, позволял злоумышленникам принудительно отображать "содержимое произвольного URL-адреса" на устройстве жертвы".
WhatsApp и эксперты по безопасности рекомендуют следующие шаги для снижения рисков: обновить WhatsApp до последней версии (iOS v2.25.21.73 или новее, Business iOS v2.25.21.78 или новее, Mac v2.25.21.78 или новее); установить последние обновления операционных систем для iOS, iPadOS и macOS; активировать расширенные функции безопасности, такие как Режим замка на iOS или Расширенная защита на Android. Своевременное обновление программного обеспечения остается ключевым методом защиты от подобных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55177
- https://www.whatsapp.com/security/advisories/2025/
- https://www.cve.org/CVERecord?id=CVE-2025-43300
- https://support.apple.com/en-us/124928
- https://support.apple.com/en-us/124929
- https://support.apple.com/en-us/124925
- https://support.apple.com/en-us/124926
- https://support.apple.com/en-us/124927
