WhatsApp 漏洞可让攻击者在 Windows 电脑上运行恶意代码

Meta 警告 Windows 用户更新 WhatsApp 消息应用至最新版本，以修复一个可让攻击者在设备上执行恶意代码的漏洞。

该漏洞被描述为一个欺骗问题，追踪编号为 CVE-2025-30401，攻击者可通过向潜在目标发送带有篡改文件类型的恶意文件来利用此安全漏洞。

Meta 表示，该漏洞影响了所有 WhatsApp 版本，并已通过发布 WhatsApp 2.2450.6 修复。

“在 WhatsApp for Windows 版本 2.2450.6 之前，附件会根据其 MIME 类型显示，但选择文件打开处理程序是基于附件的文件名扩展名，”WhatsApp 在周二的公告中解释道。“恶意构造的不匹配可能导致收件人在 WhatsApp 内手动打开附件时，意外执行任意代码而非查看附件。”

Meta 表示，一位外部研究人员通过 Meta Bug Bounty 提交发现了该漏洞。该公司尚未分享 CVE-2025-30401 是否在野外被利用的信息。

2024 年 7 月，WhatsApp 解决了一个类似的问题，即当收件人在安装了 Python 的 Windows 设备上打开时，Python 和 PHP 附件可在无警告的情况下执行。

常被间谍软件攻击的目标

最近，在多伦多大学公民实验室的安全研究人员报告后，WhatsApp 还修复了一个被利用来安装 Paragon Graphite 间谍软件的零点击、零日安全漏洞。

该公司表示，去年年底已解决了攻击向量，“无需客户端修复”，并在“审查了 MITRE 发布的 CVE 指南和自身的内部政策后”决定不分配 CVE 编号。

1 月 31 日，在服务器端缓解了安全问题后，WhatsApp 通知了来自 20 多个国家的约 90 名 Android 用户，包括意大利记者和活动家，他们成为了使用零点击漏洞的 Paragon 间谍软件攻击的目标。

去年 12 月，美国联邦法官裁定，以色列间谍软件制造商 NSO Group 利用 WhatsApp 零日漏洞在至少 1,400 台设备上部署了 Pegasus 间谍软件，从而违反了美国的黑客法律。

法院文件显示，NSO 据称利用多个零日漏洞通过 WhatsApp 漏洞部署 Pegasus 间谍软件，其开发人员还逆向工程了 WhatsApp 的代码，以创建发送恶意消息的工具，从而安装间谍软件，违反了联邦和州法律。

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；