Злоумышленники используют уязвимость в WhatsApp для проведения атак на пользователей iPhone. Об этом сообщает darkreading.com.Эти атаки, направленные на определенных пользователей, не требуют никаких действий со стороны жертвы, что делает их особенно коварными. В рамках кампании также эксплуатируется ранее обнаруженная и исправленная уязвимость iOS, известная как CVE-2025-43300. Она уже использовалась в других атаках.
Около 200 человек уже пострадали от этих инцидентов. В связи с этим правительство США призвало всех сотрудников федеральных учреждений немедленно обновить свои устройства.
Новая уязвимость, CVE-2025-55177 (CVSS 5.4), затрагивает приложение WhatsApp от Meta. Она позволяет стороннему пользователю инициировать обработку контента с произвольного URL на устройстве жертвы. По данным Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), уязвимость затрагивает iOS до версии 2.25.21.73, WhatsApp Business для iOS версии 2.25.21.78 и WhatsApp для Mac версии 2.25.21.78.
WhatsApp описала проблему как «неполную авторизацию сообщений о синхронизации связанных устройств». В сочетании с уязвимостью на уровне операционной системы Apple (CVE-2025-43300) она могла быть использована в сложных атаках на конкретных пользователей. Компания уже выпустила обновление для исправления этой уязвимости, поэтому пользователям рекомендуется обновить приложение до последней версии.
Ранее обнаруженная уязвимость Apple связана с ошибкой записи за пределами допустимого диапазона. Она использовалась в атаках нулевого дня в августе, которые также описывались как «чрезвычайно сложные» и направленные на конкретных пользователей. Уязвимость затрагивает iOS, iPadOS и macOS. Apple исправила её 20 августа, улучшив проверку границ в последних версиях операционных систем.
Meta отправила стандартные уведомления внутри приложения менее чем 200 пользователям по всему миру, которых, по мнению компании, могла затронуть атака.