WhatsApp Issues Emergency Update for Zero-Click Exploit Targeting iOS and macOS Devices

Alerte Sécurité WhatsApp : Exploitation d’une Vulnérabilité “Zero-Click”

WhatsApp a publié une mise à jour d’urgence pour corriger une faille de sécurité critique permettant une attaque “zero-click”. Cette vulnérabilité, référencée CVE-2025-55177, a potentiellement été utilisée dans des cyberattaques sophistiquées ciblant des utilisateurs spécifiques d’iOS et macOS.

Points Clés :

• Une vulnérabilité dans la synchronisation des messages entre appareils liés permettait à un utilisateur non autorisé de déclencher le traitement de contenu provenant d’une URL arbitraire sur l’appareil d’une cible.
• Cette faille a pu être combinée avec une autre vulnérabilité Apple (CVE-2025-43300) pour mener des attaques de “zero-click”, ne nécessitant aucune interaction de la part de l’utilisateur.
• Des chercheurs de WhatsApp ont découvert la faille, et Amnesty International a signalé qu’un nombre indéterminé d’individus ont été informés d’une possible cible par une campagne d’espionnage avancée durant les 90 derniers jours.
• L’exploitation semble viser des individus spécifiques, y compris des journalistes et des défenseurs des droits humains.

Vulnérabilités Mentionnées :

• CVE-2025-55177 (Score CVSS: 8.0) : Autorisation insuffisante des messages de synchronisation d’appareils liés.
• CVE-2025-43300 : Vulnérabilité “out-of-bounds write” dans le framework ImageIO, pouvant entraîner une corruption de mémoire lors du traitement d’une image malveillante (affectant iOS, iPadOS, macOS).

Versions Affectées :

• WhatsApp pour iOS avant la version 2.25.21.73
• WhatsApp Business pour iOS version 2.25.21.78
• WhatsApp pour Mac version 2.25.21.78

Recommandations :

• Mettre à jour immédiatement WhatsApp vers la dernière version disponible.
• Maintenir le système d’exploitation des appareils (iOS, macOS) à jour.
• Effectuer une réinitialisation d’usine complète de l’appareil pour une protection optimale.

Source