O Meta alertou os usuários do Windows para atualizarem o aplicativo de mensagens WhatsApp para a versão mais recente para corrigir uma vulnerabilidade que pode permitir que invasores executem códigos maliciosos em seus dispositivos. invasores executem códigos maliciosos em seus dispositivos.
Descrita como um problema de falsificação e rastreada como CVE-2025-30401 , essa falha de segurança pode ser explorada por invasores enviando arquivos criados maliciosamente com tipos de arquivo alterados para alvos em potencial.
A Meta diz que a vulnerabilidade afetou todas as versões do WhatsApp e foi corrigida com o lançamento do WhatsApp 2.2450.6.
“Um problema de falsificação no WhatsApp para Windows anterior à versão 2.2450.6 exibia anexos de acordo com seu tipo MIME, mas selecionava o gerenciador de abertura de arquivo com base na extensão do nome do arquivo do anexo”, explicou o WhatsApp em um comunicado na terça-feira .
“Uma incompatibilidade criada maliciosamente pode ter feito com que o destinatário executasse inadvertidamente um código arbitrário em vez de visualizar o anexo ao abri-lo manualmente no WhatsApp.”
A Meta diz que um pesquisador externo encontrou e relatou a falha por meio de uma submissão do Meta Bug Bounty. A empresa ainda não compartilhou se o CVE-2025-30401 foi explorado na natureza.
Em julho de 2024, o WhatsApp resolveu um problema um pouco semelhante que permitia que anexos Python e PHP fossem executados sem aviso quando os destinatários os abrissem em dispositivos Windows com Python instalado.
Frequentemente alvo de ataques de spyware
Mais recentemente, após relatórios de pesquisadores de segurança do Citizen Lab da Universidade de Toronto, o WhatsApp também corrigiu uma vulnerabilidade de segurança de zero clique e dia zero que foi explorada para instalar o spyware Graphite da Paragon.
A empresa disse que o vetor de ataque foi resolvido no final do ano passado “sem a necessidade de uma correção do lado do cliente” e decidiu não atribuir um CVE-ID após “revisar as diretrizes CVE publicadas pelo MITRE e [suas] próprias políticas internas”.
Em 31 de janeiro, após mitigar o problema de segurança no lado do servidor, o WhatsApp alertou cerca de 90 usuários do Android de mais de duas dúzias de países, incluindo jornalistas e ativistas italianos que foram alvos de ataques de spyware Paragon usando o exploit de clique zero.
Em dezembro passado, um juiz federal dos EUA também decidiu que o fabricante israelense de spyware NSO Group usou o WhatsApp zero-day para implantar o spyware Pegasus em pelo menos 1.400 dispositivos, violando assim as leis de hacking dos EUA.
Documentos judiciais revelaram que a NSO supostamente implantou o spyware Pegasus em ataques de clique zero que exploraram vulnerabilidades do WhatsApp usando vários exploits de dia zero. Os documentos também disseram que os desenvolvedores do fabricante do spyware fizeram engenharia reversa no código do WhatsApp para criar ferramentas que enviavam mensagens maliciosas que instalavam spyware, violando leis federais e estaduais.
