Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Delle vulnerabilità su WhatsApp tornano al centro dell’attenzione. Il primo riguarda la gestione dei contenuti AI, che può portare all’elaborazione di URL arbitrari, mentre il secondo consente spoofing di allegati su Windows. Anche senza exploit attivi, queste falle evidenziano rischi concreti per utenti e aziende. Meta ha rilasciato patch, ma resta cruciale mantenere aggiornate le applicazioni.
WhatsApp, ritorna al centro dell’attenzione con una nuova pubblicazione che riporta due bug di sicurezza relativi al 2026. Si tratta dei bug di sicurezza monitorati con il CVE-2026-23866 e il CVE-2026-23863, i quali evidenziano ancora una volta che le piattaforme così diffuse come Whatsapp, possano esserci rischi significativi, soprattutto in un contesto in cui funzionalità avanzate come l’intelligenza artificiale, sono integrate sempre più rapidamente all’interno della piattaforma.
La prima vulnerabilità, riguarda un problema di validazione incompleta nei messaggi AI avanzati, legati agli Instagram Reels, integrati all’interno di WhatsApp su iOS e Android. In determinate condizioni, un malintenzionato potrebbe indurre un dispositivo ad elaborare contenuti multimediali provenienti da URL arbitrari.
Il comportamento, che smererebbe essere innocuo, può arrivare fino all’attivazione di handler di sistema, i quali possono essere collegati a schemi URL personalizzati, aprendo potenzialmente la porta a catene di attacco più complesse. Nonostante la gravità di questa minaccia, non risultano al momento delle evidenze di sfruttamento attivo in ambiente reale.
Il secondo bug interessa la versione Windows dell’applicazione e si configura come un classico caso di spoofing degli allegati. File appositamente predisposti, contenenti byte NUL nel nome, possono essere visualizzati come documenti innocui mentre, una volta aperti, venivano eseguiti come file eseguibili.
Questo tipo di vulnerabilità è particolarmente insidioso perché sfrutta la fiducia dell’utente, inducendolo a compiere azioni pericolose senza rendersene conto.
Entrambe i bug, sono stati segnalati attraverso il programma di bug bounty di Meta. Confermano il ruolo fondamentale della collaborazione tra ricercatori indipendenti e team di sicurezza interni. La risposta dell’azienda che ha rilasciato le patch di sicurezza ha dimostrato l’importanza di un ecosistema di sicurezza attivo e reattivo, capace di mitigare tempestivamente rischi emergenti.
Alla luce di queste scoperte, gli utenti e le organizzazioni devono mantenere sempre aggiornate le proprie applicazioni e adottino buone pratiche di sicurezza. Anche senza specifici exploit le vulnerabilità rappresentano un punto di attacco per attacchi informatici.
