Malwarebytesは9月26日(米国時間)、「Critical WhatsApp vulnerabilities patched: Check you've updated!」において、WhatsAppに存在していた重大な脆弱性にパッチが適用されと伝えた。WhatsAppの9月のアップデートによって2件のリモートコード実行(RCE: Remote Code Execution)の脆弱性が修正されている。これらの脆弱性により、デバイスにアクセスされ、リモートからコマンドが実行されてしまう可能性があった。

  • Critical WhatsApp vulnerabilities patched: Check you've updated!

    Critical WhatsApp vulnerabilities patched: Check you've updated!

パッチが適用された2件の脆弱性は次のとおり。

  • CVE-2022-36934: 確立されたビデオ通話でリモートコード実行の可能性
  • CVE-2022-27492: 細工されたビデオファイルを受信した時にリモートコード実行の可能性

上記2件の脆弱性のうち少なくとも1件の影響を受けるWhatsAppのバージョンは次のとおり。

  • Android版WhatsApp v2.22.16.12より前のバージョン
  • Android版WhatsApp Business v2.22.16.12より前のバージョン
  • iOS版WhatsApp v2.22.16.12より前のバージョン
  • iOS版WhatsApp Business v2.22.16.12より前のバージョン

Android版WhatsAppおよびiOS版WhatsAppは、2件の脆弱性の影響を受けるとされている。

これらの脆弱性が悪用された形跡はないという。WhatsAppの内部セキュリティチームにより発見され、脆弱性が公表される前に修正されている。WhatsAppを利用しているユーザは、内容を確認するとともに迅速にアップデートすることが望まれている。