Обнаружены критические уязвимости в WhatsApp для устройств Apple

Румынское Национальное управление по кибербезопасности (DNSC) выпустило срочное предупреждение о двух критических уязвимостях в мессенджере WhatsApp. Эти уязвимости позволяют проводить опасные атаки на устройства Apple без какого-либо взаимодействия с пользователем.

Атаки типа «zero-click» используют уязвимости CVE-2025-55177 и CVE-2025-43300 и уже наблюдались в Румынии. Процесс эксплуатации использует специально подготовленное изображение в формате DNG. Приложение WhatsApp получает или автоматически загружает этот файл с сервера, контролируемого злоумышленником.

Когда приложение пытается сгенерировать предварительный просмотр изображения, компонент Apple ImageIO сталкивается с манипулированными данными. Это вызывает повреждение памяти, что может привести к выполнению вредоносного кода на устройстве жертвы.

Под угрозой находятся следующие версии приложений и операционных систем:

• WhatsApp для iOS версии ранее 2.25.21.73
• WhatsApp Business для iOS версии ранее 2.25.21.78
• WhatsApp для macOS версии ранее 2.25.21.78
• Системы Apple с версиями iOS старше 16.7, macOS Sonoma старше 14.7.8, Ventura старше 13.7.8 и Sequoia старше 15.6.1

Специалисты DNSC подчеркивают, что единственной эффективной мерой защиты является немедленное обновление приложений WhatsApp и WhatsApp Business до последних доступных версий и установка всех доступных обновлений для iOS, iPadOS и macOS. Пользователям также следует серьезно относиться ко всем уведомлениям, связанным с безопасностью их учетных записей.

Уязвимости типа «zero-click» считаются особенно опасными, поскольку для их эксплуатации не требуется действий со стороны пользователя — достаточно просто получения специально созданного сообщения. В 2025 году подобные атаки становятся все более изощренными, что требует от пользователей постоянного поддержания актуальности программного обеспечения.