El error crítico permitiría a un atacante explotar un error de código conocido como desbordamiento de enteros, lo que les permitiría ejecutar su propio código en el teléfono inteligente de una víctima después de enviar una videollamada especialmente diseñada. Las vulnerabilidades de ejecución remota de código son un paso clave en la instalación de malware, spyware u otras aplicaciones maliciosas en un sistema de destino, ya que dan a los atacantes un pie en la puerta que se puede utilizar para comprometer aún más la máquina utilizando técnicas como los ataques de escalada de privilegios.

A la vulnerabilidad recientemente divulgada se le ha asignado el número de identificación CVE-2022-36934 en la base de datos nacional de vulnerabilidades y se le ha otorgado una puntuación de gravedad de 9,8 sobre 10 en la escala CVE. Esto equivale al nivel de amenaza más alto posible: «crítico».

WhatsApp también compartió detalles de otra vulnerabilidad, CVE-2022-27492, que permitiría a los atacantes ejecutar código después de enviar un archivo de video malicioso. Esta vulnerabilidad se calificó con 7,8 sobre 10, o un nivel de gravedad de «alto».

Los sistemas de WhatsApp con problemas de seguridad:

• WhatsApp para Android antes de v2.22.16.12
• WhatsApp Business para Android anterior a v2.22.16.12
• WhatsApp para iOS antes de v2.22.16.12
• WhatsApp Business para iOS anterior a la versión 2.22.16.12