Diario TI

WhatsApp corrige fallas que podían ocultar archivos ejecutables y procesar enlaces externos

WhatsApp corrigió una vulnerabilidad en Windows que podía hacer pasar un ejecutable por un archivo inocuo, y otra en iOS y Android relacionada con el procesamiento de contenido desde URL externas.

WhatsApp corrigió dos vulnerabilidades de seguridad que afectaban a versiones de su aplicación para Windows, iOS y Android. Una de ellas podía hacer que un archivo ejecutable pareciera un documento inocuo; la otra estaba relacionada con el procesamiento de contenido multimedia desde direcciones URL arbitrarias.

De acuerdo con el aviso de seguridad publicado por WhatsApp, la compañía no ha detectado evidencia de explotación activa de ninguno de los dos problemas, identificados como CVE-2026-23863 y CVE-2026-23866.

Archivos con apariencia engañosa en Windows

La vulnerabilidad CVE-2026-23863 afectaba a WhatsApp para Windows en versiones anteriores a la 2.3000.1032164386.258709. El problema estaba en el manejo de archivos adjuntos con bytes NUL incorporados en su nombre.

Según WhatsApp, un documento especialmente preparado podía mostrarse dentro de la aplicación como un tipo de archivo aparentemente seguro, pero ejecutarse como programa al ser abierto por la persona receptora. La falla requería interacción del usuario para activar el archivo.

Procesamiento de contenido desde URL externas

La segunda vulnerabilidad, CVE-2026-23866, afectaba a WhatsApp para iOS entre las versiones 2.25.8.0 y 2.26.15.72, y a WhatsApp para Android entre las versiones 2.25.8.0 y 2.26.7.10.

La compañía explicó que una validación incompleta de mensajes de respuesta enriquecida de Instagram Reels podía permitir que un usuario activara el procesamiento de contenido multimedia desde una URL arbitraria en el dispositivo de otra persona. El comportamiento también podía activar manejadores de esquemas URL controlados por el sistema operativo.

La información pública no entrega detalles adicionales sobre posibles cadenas de ataque ni sobre aplicaciones específicas que pudieran activarse mediante esos esquemas.

Actualización como medida preventiva

Ambas fallas fueron reportadas por investigadores externos a través del programa de recompensas por vulnerabilidades de Meta. WhatsApp las clasificó como problemas de impacto medio y señaló que fueron corregidas mediante actualizaciones publicadas durante el año.

La recomendación práctica para usuarios y organizaciones es mantener WhatsApp actualizado y extremar precauciones ante archivos o enlaces inesperados, incluso cuando provengan de contactos conocidos.

Con información de WhatsApp y SecurityWeek.

📬 Newsletter gratuito

Últimos artículos