Impatto Sistemico

Critico (76.92)

Sintesi

Aggiornamenti di sicurezza risolvono una vulnerabilità con gravità “alta” in WhatsApp per iOS e Mac e WhatsApp Business per iOS. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario sui sistemi target.

Tipologia

Arbitrary Code Execution

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato una vulnerabilità che interessa WhatsApp per iOS e Mac e WhatsApp Business per iOS. La vulnerabilità, identificata tramite la CVE-2025-55177 e con score CVSSv3.1 pari a 8, è legata ad una errata gestione dei messaggi di sincronizzazione tra i dispositivi associati. Normalmente tali messaggi dovrebbero essere filtrati e autenticati, ma nelle versioni vulnerabili il controllo delle fasi di autorizzazione risulta incompleto e potrebbe consentire ad un utente malintenzionato di inserire contenuto malevolo opportunamente predisposto nel flusso di sincronizzazione.

Secondo le dichiarazioni di Meta tale vulnerabilità, in combinazione con la CVE-2025-43300 – vulnerabilità di tipo “Remote Code Execution”, che riguarda sistemi operativi Apple e trattata nell’ambito della AL02/250821/CSIRT-ITA – potrebbe essere stata potenzialmente sfruttata in un attacco sofisticato verso utenze specifiche.

Prodotti e/o versioni affette

• WhatsApp per iOS, versioni precedenti alla 2.25.21.73
• WhatsApp per Mac, versioni precedenti alla 2.25.21.78
• WhatsApp Business per iOS, versioni precedenti alla 2.25.21.78

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.