idNSA.id - WhatsApp telah merilis pembaruan keamanan untuk
mengatasi dua kelemahan dalam aplikasi perpesanannya untuk Android dan iOS yang
dapat menyebabkan remote code execution atau eksekusi kode jarak jauh pada
perangkat yang rentan.
Salah satunya menyangkut CVE-2022-36934 (skor CVSS: 9,8),
kerentanan kritis integer overflow di WhatsApp yang mengakibatkan eksekusi kode
arbitrer hanya dengan membuat panggilan video.
Masalah ini berdampak pada WhatsApp dan WhatsApp Business
untuk Android dan iOS sebelum versi 2.22.16.12.
Juga ditambal oleh platform perpesanan milik Meta adalah bug
underflow integer, yang mengacu pada kategori kesalahan yang berlawanan yang
terjadi ketika hasil operasi terlalu kecil untuk menyimpan nilai dalam ruang
memori yang dialokasikan.
Masalah dengan tingkat keparahan tinggi, mengingat pengenal
CVE CVE-2022-27492 (skor CVSS: 7.8), memengaruhi WhatsApp untuk Android sebelum
versi 2.22.16.2 dan WhatsApp untuk iOS versi 2.22.15.9, dan dapat dipicu
setelah menerima pesan yang dibuat khusus berkas video.
Eksploitasi integer overflows dan underflows adalah batu
loncatan untuk mendorong perilaku yang tidak diinginkan, menyebabkan crash yang
tidak terduga, kerusakan memori, dan eksekusi kode.
WhatsApp tidak membagikan lebih spesifik tentang kerentanan,
tetapi perusahaan keamanan siber Malwarebytes mengatakan bahwa mereka berada di
dua komponen yang disebut Video Call Handler dan Video File Handler, yang dapat
memungkinkan penyerang untuk mengambil kendali aplikasi.
Kerentanan di WhatsApp dapat menjadi vektor serangan yang
menguntungkan bagi pelaku ancaman yang ingin memasang perangkat lunak berbahaya
pada perangkat yang disusupi. Pada tahun 2019, cacat panggilan audio
dieksploitasi oleh pembuat spyware Israel NSO Group untuk menyuntikkan spyware
Pegasus.
