近日，Meta公司向Windows用户发出紧急警告，要求他们尽快更新WhatsApp消息应用程序至最新版本，以修复一个可能导致攻击者在其设备上执行恶意代码的漏洞。这一漏洞被描述为伪造问题，编号为CVE-2025-30401。攻击者可以通过向潜在目标发送具有篡改文件类型的恶意文件来利用该漏洞。

根据Meta的解释，该漏洞影响了所有版本的WhatsApp，并且已经在WhatsApp 2.2450.6版本中得到修复。在周二发布的安全公告中，WhatsApp详细说明了漏洞的具体情况：“在WhatsApp for Windows 2.2450.6版本之前，附件会根据其MIME类型显示，但文件打开处理器的选择是基于附件的文件名扩展名。如果恶意构造的文件类型与扩展名不匹配，可能会导致接收者在WhatsApp中手动打开附件时，无意中执行任意代码，而不是查看附件内容。”

值得注意的是，该漏洞是由一位外部研究人员通过Meta的漏洞奖励计划提交的。目前，Meta尚未透露CVE-2025-30401是否在实际环境中被利用。

回顾过去，WhatsApp在2024年7月也曾处理过一个类似问题，当时允许Python和PHP附件在Windows设备上被无警告地执行，前提是目标设备上安装了Python。此外，根据多伦多大学公民实验室的安全研究人员报告，WhatsApp还修补了一个零点击、零日安全漏洞，该漏洞被利用来安装Paragon的Graphite间谍软件。公司表示，该攻击向量已于去年年底在服务器端得到解决，无需客户端修复，并且在审查了MITRE发布的CVE指南和公司内部政策后，决定不分配CVE-ID。

2025年1月31日，在服务器端缓解了安全问题后，WhatsApp通知了大约90名来自20多个国家的Android用户，其中包括意大利的记者和活动人士，他们曾是Paragon间谍软件攻击的目标，这些攻击利用了零点击漏洞。去年12月，美国联邦法官还裁定，以色列间谍软件制造商NSO集团利用WhatsApp零日漏洞在至少1400台设备上部署了Pegasus间谍软件，从而违反了美国的黑客法律。法院文件显示，NSO被指控利用多个零日漏洞利用WhatsApp漏洞进行零点击攻击，并部署Pegasus间谍软件。文件还提到，间谍软件制造商的开发人员反向工程了WhatsApp的代码，创建了能够发送恶意消息以安装间谍软件的工具，违反了联邦和州法律。

WhatsApp作为全球广泛使用的即时通讯工具，其安全性直接关系到用户的个人信息安全和隐私保护。此次漏洞事件再次提醒用户，及时更新软件是保障自身安全的重要措施之一。同时，也呼吁软件开发商加强安全审查和漏洞修复机制，以防止类似事件的再次发生。对于普通用户来说，除了及时更新软件外，还应提高安全意识，避免点击不明链接或下载来源不明的文件，以减少被攻击的风险。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

[培训]科锐逆向工程师培训第53期2025年7月8日开班！