Uma nova vulnerabilidade de execução remota de código (RCE) sem interação do usuário foi descoberta no WhatsApp, afetando dispositivos iOS, macOS e iPadOS. A falha, identificada como CVE-2025-55177, permite que atacantes enviem uma imagem DNG maliciosa que, ao ser processada automaticamente pelo aplicativo, compromete completamente o dispositivo da vítima. O ataque ocorre em duas etapas: primeiro, uma falha lógica no manuseio de mensagens do WhatsApp permite que um invasor falsifique a origem de uma mensagem e insira um arquivo DNG malicioso na conversa. Em seguida, uma segunda vulnerabilidade, CVE-2025-43300, no parser de arquivos DNG, causa corrupção de memória, permitindo que o invasor execute código arbitrário. A exploração é silenciosa, sem necessidade de interação do usuário, tornando a detecção extremamente difícil. Tanto o WhatsApp quanto a Apple estão cientes das vulnerabilidades e estão trabalhando em correções. Usuários são aconselhados a atualizar seus aplicativos assim que as correções forem disponibilizadas e a ter cautela ao receber mensagens multimídia não solicitadas. A situação destaca a complexidade de proteger aplicativos de mensagens contra vetores de ataque que exploram formatos de arquivo aparentemente seguros.
Fonte: https://cyberpress.org/0-click-whatsapp-vulnerability/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
29/09/2025 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade 0-Click do WhatsApp Explorável via Imagem DNG Maliciosa
RESUMO EXECUTIVO
A vulnerabilidade 0-click no WhatsApp representa um risco significativo para a segurança de dados, permitindo que atacantes comprometam dispositivos sem qualquer interação do usuário. A exploração pode resultar em vazamentos de informações sensíveis e controle total do dispositivo, exigindo atenção imediata de CISOs para implementar medidas de mitigação e garantir a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Comprometimento total do dispositivo, exfiltração de dados pessoais e controle remoto.
Setores vulneráveis
['Setores que utilizam WhatsApp para comunicação interna e externa.']
📊 INDICADORES CHAVE
Exploração sem interação do usuário.
Indicador
Comprometimento total do dispositivo.
Contexto BR
Vulnerabilidades CVE-2025-55177 e CVE-2025-43300 identificadas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o WhatsApp está atualizado com a versão mais recente após a liberação do patch.
2
Educar os usuários sobre os riscos de abrir mensagens multimídia não solicitadas.
3
Monitorar continuamente as atualizações de segurança do WhatsApp e da Apple.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de compromissos silenciosos em dispositivos de funcionários, que podem levar a vazamentos de dados sensíveis.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD, especialmente no que diz respeito à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
