Redazione RHC : 30 agosto 2025 10:56
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vulnerabilidad de Apple descubierta recientemente en ataques de día cero dirigidos.
Un caso de autorización insuficiente para sincronizar mensajes entre dispositivos conectados está detrás de la vulnerabilidad, identificada como CVE-2025-55177, con una puntuación CVSS de 8.0, que ha sido explotada por software de vigilancia (spyware). El descubrimiento y la posterior reevaluación del fallo se atribuyen a investigadores del equipo de seguridad de WhatsApp.
Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional, afirmó que WhatsApp ha alertado a un número indeterminado de personas que, según cree, fueron blanco de una campaña de spyware avanzado durante los últimos 90 días que utilizó el código de explotación CVE-2025-55177.
Un mensaje enviado a los posibles objetivos les recomendaba, como medida de seguridad, restablecer completamente la configuración original de sus dispositivos y asegurarse de tener siempre actualizados el sistema operativo y la aplicación de WhatsApp para una protección óptima. La identidad del autor, o la empresa que produjo el spyware utilizado, sigue siendo desconocida por ahora. Desconocido.
La falla afecta a WhatsApp para iOS (versión anterior a la 2.25.21.73), WhatsApp Business para iOS (versión 2.25.21.78) y WhatsApp para Mac (versión 2.25.21.78). La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de límites en el framework ImageIO que podría causar corrupción de memoria al procesar una imagen maliciosa.
La semana pasada, se reveló que Apple había descubierto que la vulnerabilidad CVE-2025-43300 se estaba utilizando como herramienta en una feroz ciberofensiva dirigida a objetivos individuales con técnicas extremadamente sofisticadas. La empresa propiedad de Meta declaró que el problema «podría haber permitido que un usuario no relacionado activara el procesamiento de contenido desde una URL arbitraria en el dispositivo objetivo».
También se evaluó que la falla podría estar vinculada a la vulnerabilidad CVE-2025-43300, que afecta a iOS, iPadOS y macOS, como parte de un ataque sofisticado contra usuarios específicos.
RedazioneLa semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
Tres importantes grupos de ransomware —DragonForce, Qilin y LockBit— han anunciado una alianza. Se trata, en esencia, de un intento de coordinar las actividades de varios operadores importantes de...
