واتساپ آسیبپذیری امنیتی در نسخههای iOS و macOS اپلیکیشن خود را پچ کرده است که در حملات هدفمند Zero-Day مورد سوءاستفاده قرار گرفته بود.
این باگ «بدون نیاز به کلیک» (zero-click) با شناسهی CVE-2025-55177 شناخته میشود و نسخههای زیر را تحت تأثیر قرار میدهد:
واتساپ برای iOS قبل از نسخه 2.25.21.73
واتساپ بیزینس برای iOS نسخه 2.25.21.78
واتساپ برای مک نسخه 2.25.21.78
واتساپ در اطلاعیهی امنیتی گفت:
«تأیید ناقص پیامهای همگامسازی دستگاههای متصل در واتساپ میتوانست به کاربری غیرمرتبط اجازه دهد تا پردازش محتوای یک URL دلخواه را روی دستگاه هدف فعال کند.»
این آسیبپذیری، در ترکیب با یک آسیبپذیری سطح سیستمعامل در پلتفرمهای اپل (CVE-2025-43300)، ممکن است در حملهای پیچیده علیه کاربران مشخص مورد سوءاستفاده قرار گرفته باشد.
اپل نیز هنگام انتشار بهروزرسانی اضطراری برای پچ کردن باگ CVE-2025-43300 اوایل این ماه، اعلام کرد که این آسیبپذیری در حملهای بسیار پیچیده مورد سوءاستفاده قرار گرفته است.
در حالی که دو شرکت هنوز جزئیات بیشتری از حملات منتشر نکردهاند، دونچا اُه کارویل، رئیس آزمایشگاه امنیتی عفو بینالملل، گفت که واتساپ اخیراً به برخی کاربران هشدار داده که طی ۹۰ روز گذشته هدف کمپین پیشرفتهی جاسوسی بودهاند.
هشدارهای واتساپ به کاربران آسیبپذیر توصیه میکند که دستگاه خود را به تنظیمات کارخانه بازگردانده و سیستمعامل و نرمافزار دستگاه را همیشه بهروز نگه دارند.
لازم به ذکر است که واتساپ در مارس امسال نیز یک آسیبپذیری صفر روزه دیگر را پچ کرده بود؛ این باگ توسط محققان امنیتی Citizen Lab دانشگاه تورنتو شناسایی شد و برای نصب بدافزار جاسوسی Graphite شرکت Paragon مورد سوءاستفاده قرار گرفته بود.
