Эксперты DarkNavyOrg выявили новую уязвимость в мессенджере WhatsApp (Компания Meta Platforms Inc.* признана экстремистской организацией), которая позволяет без участия жертвы удаленно выполнять произвольный код на устройствах под управлением iOS, macOS и iPadOS. Об этом сообщает SecurityLab.

Ключевым элементом атаки является CVE-2025-55177 — критическая логическая ошибка в механизме обработки входящих сообщений. Из-за отсутствия корректной проверки источника злоумышленник может передать вредоносный payload, который воспринимается системой как легитимный.

Вторым звеном выступает CVE-2025-43300 — сбой в библиотеке обработки DNG-файлов. Специально созданное изображение вызывает повреждение памяти, что открывает возможность для удаленного выполнения кода. В демонстрации proof-of-concept исследователи показали сценарий, при котором скомпрометированное изображение отправляется на целевой номер, после чего происходит незаметное для пользователя заражение.

По оценке специалистов, успешная эксплуатация уязвимости предоставляет злоумышленникам полный контроль над устройством, включая доступ к данным и переписке, возможность скрытого наблюдения и установки дополнительного вредоносного ПО. Отсутствие необходимости в действиях со стороны жертвы делает атаку особенно опасной и трудной для обнаружения.

Пользователям WhatsApp на гаджетах Apple рекомендуется своевременно обновлять WhatsApp и операционные системы. Ожидается, что WhatsApp и Apple выпустят исправления в ближайших релизах.