WhatsApp opravil zranitelnost ve svých aplikacích pro iOS a macOS, která mohla v kombinaci s nedávno odhalenou chybou Apple posloužit k cíleným zero-day útokům bez interakce uživatele. Chyba CVE-2025-55177 (CVSS 5,4) spočívala v nedostatečném ověřování oprávnění u synchronizačních zpráv připojených zařízení a mohla umožnit spuštění zpracování obsahu z libovolné URL na cílovém zařízení.

Zranitelnost objevili interní bezpečnostní specialisté WhatsAppu. Opravy vyšly pro WhatsApp pro iOS ve verzi 2.25.21.73 (28. července 2025), pro WhatsApp Business pro iOS a pro WhatsApp pro Mac ve verzi 2.25.21.78 (4. srpna 2025). Podle firmy mohl být nedostatek spojen s CVE-2025-43300, chybou typu out-of-bounds write ve frameworku ImageIO na platformách iOS, iPadOS a macOS, která při zpracování škodlivého obrázku vede k poškození paměti. Apple ji identifikoval jako zneužívanou v sofistikovaných útocích na vybrané jedince v srpnu 2025.

Donncha Ó Cearbhaill z Amnesty International uvedl, že WhatsApp během posledních 90 dnů upozornil blíže nespecifikovaný počet uživatelů, o nichž se domnívá, že byli cílem pokročilé spyware kampaně využívající CVE-2025-55177. „První náznaky ukazují, že útok na WhatsApp postihuje jak uživatele iPhonů, tak Androidu, mezi nimiž jsou i představitelé občanské společnosti,“ sdělil a dodal, že jde o „zero-click“ v plném slova smyslu.

WhatsApp doporučil provést úplné obnovení zařízení do továrního nastavení a udržovat systém i aplikaci aktuální. Firma zároveň potvrdila, že upozornění na hrozbu zaslala přímo v aplikaci méně než 200 potenciálně dotčeným uživatelům. Databáze NVD amerického NIST 2. září 2025 zveřejnila finální skóre CVSS. Oprava tak potvrzuje trend, kdy kombinace zranitelností umožňuje cílené útoky bez interakce uživatele a vyžaduje rychlé nasazování aktualizací.

Zdroj: The Hacker News