WhatsApp 0-click i Apple ImageIO

Sadržaj
‍
WhatsApp je zakrpao zero-click ranjivost CVE-2025-55177 koja je u ciljanim napadima ulančana s Appleovom CVE-2025-43300 (ImageIO) kako bi se kompromitirali iOS, iPadOS i macOS uređaji bez interakcije korisnika. Objavljene su nadogradnje za WhatsApp (iOS, Business iOS, Mac) i Appleove sustave, u javnosti se pojavio i PoC koji demonstrira iskorištavanje putem posebno oblikovane DNG slike. .

Detalji
‍
Lanac iskorištavanja započinje slabom provjerom/autorizacijom u WhatsApp mehanizmu linked device sync (CVE-2025-55177). Zlonamjerni akter može iskoristiti legitimnu sinkronizacijsku poruku kako bi aplikaciju naveo da automatski preuzme i obradi sadržaj s proizvoljnog URL-a, bez ikakve interakcije korisnika (nema klika, otvaranja razgovora ni pregleda datoteke). U prikazanim demonstracijama taj se sadržaj isporučuje kao DNG slika posebnog formata.
‍
Drugi korak oslanja se na Appleovu ranjivost CVE-2025-43300 u ImageIO/RawCamera.bundle, pri samoj obradi takve DNG datoteke dolazi do korupcije memorije (out-of-bounds write) i mogućeg RCE-a u kontekstu procesa koji obrađuje sliku na iOS/iPadOS/macOS sustavima. Zbog toga se cijeli napad smatra “zero-click”, dovoljno je da poruka stigne i da je sustav obradi u pozadini. WhatsApp je objavio kako je riječ o ciljanim napadima nad malim brojem korisnika te je slanjem “threat notification” upozorio identifikirane mete.
‍
Objavljeni PoC-evi i tehničke analize ilustriraju ovaj slijed: (1) generiranje posebno strukturirane DNG datoteke, (2) slanje kontroliranog URL-a kroz sinkronizacijsku poruku povezanim uređajima, (3) tihi dohvat i pozadinska obrada slike koja aktivira propust u ImageIO. Apple je izdao izvanredne nadogradnje za podržane OS-e, a WhatsApp je zakrpao klijente (iOS, Business iOS, Mac) kako bi se onemogućio prvi korak lanca, dereferenciranje/obrada sadržaja s proizvoljne adrese bez odgovarajuće provjere.

Preporuka
‍
• Ažurirati WhatsApp: iOS ≥ 2.25.21.73, Business iOS ≥ 2.25.21.78, Mac ≥ 2.25.21.78. .
• Ažurirati Apple OS: iOS/iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1 / Sonoma 14.7.8 / Ventura 13.7.8 (i backporti prema Appleovoj objavi).
• Ako ste primili WhatsApp „threat notification”, izvedite sigurnosnu kopiju i tvornički reset, potom ponovnu prijavu na ažuriran sustav i aplikacije. U MDM-u privremeno onemogućite/ograničite Linked Devices i WhatsApp Web, te nadzirite promet i crash-logove vezane uz ImageIO/RawCamera.bundle.

Reference
‍
• https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-55177
• https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html
• https://github.com/hunters-sec/CVE-2025-43300

‍