A WhatsApp részleteket közölt egy zero-day sérülékenységről, amelyet erősen célzott támadásokban használtak ki Apple felhasználókkal szemben.
A CVE-2025-55177 azonosítóval rögzített hiba (CVSS pontszám: 5.4) „az összekapcsolt eszközök szinkronizációs üzeneteinek hiányos jogosultság-ellenőrzéseként” került leírásra. A támadó a sebezhetőséget kihasználva képes lehetett az áldozat eszközén tetszőleges URL-ek feldolgozását kiváltani – olvasható a WhatsApp biztonsági közleményében.
„Úgy ítéljük meg, hogy ezt a sérülékenységet az Apple platformokon fennálló, operációs rendszer szintű sebezhetőséggel (CVE-2025-43300) kombinálva egy kifinomult támadásban használták ki, amely kifejezetten célzott felhasználók ellen irányult” – közölte a Meta tulajdonában lévő kommunikációs platform.
A CVE-2025-43300 egy out-of-bounds write típusú hiba, amely az Apple iOS, iPadOS és macOS rendszereinek ImageIO framework komponensét érinti. A sebezhetőséget 2025. augusztus 20-án javították.
A hiba az alábbi verziókban került orvoslásra: iOS 18.6.2 és iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8, macOS Ventura 13.7.8.
Az Apple nem közölt technikai részleteket a sérülékenységről, ugyanakkor figyelmeztetett annak aktívvan kihasznált állapotára. A vállalat közölte: „Az Apple tudomására jutott egy jelentés, amely szerint ezt a hibát rendkívül kifinomult támadásban használták ki, amely célzott személyek ellen irányult”.
A WhatsApp júliusban és augusztusban javította a CVE-2025-55177 sérülékenységet a következő kiadásokban: WhatsApp for iOS 2.25.21.73, WhatsApp Business for iOS 2.25.21.78, WhatsApp for Mac 2.25.21.78.
A vállalat ugyanakkor nem osztott meg részleteket a ténylegesen észlelt támadásokról.
Az Amnesty International szakértője, Donncha Ó Cearbhaill szerint a sebezhetőségeket zero-click támadásokban láncolták össze, amelyek feltételezhetően egy kémprogram-kampány részét képezték. „A kezdeti jelek szerint a WhatsApp elleni támadás mind iPhone, mind Android felhasználókat érintett, köztük civil szervezetek tagjait is. A kormányzati kémprogramok továbbra is komoly fenyegetést jelentenek az újságírókra és az emberi jogvédőkre” – nyilatkozta Ó Cearbhaill az X platformon. „Mivel az Apple hibája egy alapvető képkezelő könyvtárat érint, a támadók más alkalmazásokon keresztül is kihasználhatták” – tette hozzá Ó Cearbhaill.
A zero-day javításainak kiadásán túl a WhatsApp értesítést küldött az esetlegesen célba vett felhasználóknak. A Meta tájékoztatása szerint kevesebb mint 200 személy kapott ilyen értesítést.
Adam Boynton, a Jamf szenior biztonsági stratégiai menedzsere elmondta: „A WhatsApp és az Apple eszközök a világ legszélesebb körben használt technológiái közé tartoznak, különösen a felsővezetők körében. Ez a népszerűség teszi őket elsődleges célponttá. A támadók tudják, hogy ha bejutnak, a nyereség óriási. Ezért látunk jelentős erőbefektetést a kiberbűnözők részéről a zero-click sérülékenységek felfedezésébe”.
2025. szeptember 2-án az amerikai CISA kiberbiztonsági ügynökség hozzáadta a CVE-2025-55177 azonosítót a Known Exploited Vulnerabilities (KEV) katalógusához, és felszólította a szövetségi ügynökségeket, hogy szeptember 23-ig telepítsék a javítást.
