Компания Facebook недавно закрыла критическую уязвимость безопасности в версии приложения WhatsApp для персональных компьютеров. Она позволяла злоумышленникам читать хранящиеся на компьютерах Windows и Mac файлы и осуществлять дистанционное выполнение кода.

Уязвимость получила рейтинг опасности 8.2 от Национального Института Стандартов и Технологий США. Её происхождение датируется 2017 годом, когда исследователь Гал Вейцман обнаружил возможность менять текст ответов собеседников. Стало понятно, что можно создавать выглядящие достоверными сообщения с мультимедиа, которые могли перенаправлять пользователей по любому адресу. Также можно было задействовать язык программирования JavaScript для межсайтового скриптинга по одному клику. В итоге удалось выполнить и произвольный код.

Всё это оказалось возможным благодаря тому, что приложение работало на основе версии браузера Chrome 69, которая к настоящему моменту давно устарела. Данная уязвимость была обнаружена в то время, когда последней версией был Chrome 78.

Уязвимость CVE-2019-18426 затрагивает настольное приложение WhatsApp до версии 0.3.9309 и приложение для iPhone до версии 2.20.10.