WhatsApp corrige falhas de spoofing e URL

A Meta revelou duas vulnerabilidades de segurança no WhatsApp que foram corrigidas no início deste ano, afetando versões para Windows, Android e iOS da aplicação de mensagens. Uma das falhas, identificada como CVE-2026-23863, foi classificada com impacto médio e afetava o WhatsApp para Windows em versões anteriores à 2.3000.1032164386.258709.

Segundo a empresa, a vulnerabilidade permitia a criação de documentos maliciosos com bytes NUL incorporados no nome do ficheiro. Quando enviados como anexos, os ficheiros podiam aparentar ser documentos inofensivos para a vítima, mas executar código malicioso ao serem abertos.

A segunda vulnerabilidade, CVE-2026-23866, também classificada com impacto médio, afetava o WhatsApp para iOS entre as versões 2.25.8.0 e 2.26.15.72, bem como o WhatsApp para Android entre as versões 2.25.8.0 e 2.26.7.10. A empresa indica que não existem evidências de exploração ativa destas falhas.

De acordo com a Meta, a falha resultava de uma validação incompleta de mensagens AI rich response associadas a Instagram Reels. Um atacante poderia explorar o problema para desencadear o processamento de conteúdos multimédia a partir de URL arbitrários no dispositivo da vítima, incluindo a ativação de esquemas de URL personalizados controlados pelo sistema operativo.

Embora a empresa não tenha divulgado detalhes técnicos adicionais, este tipo de vulnerabilidade pode ser utilizado em cenários reais para redirecionar utilizadores para páginas de phishing ou lançar aplicações e serviços no dispositivo através de esquemas como facetime:, tel:, itms-apps: ou deep links personalizados.