WhatsApp’ta kritik güvenlik açığı: Görsel dosya üzerinden tıklama gerektirmeden saldırı mümkün hale geldi

WhatsApp, cihaz güvenliğini doğrudan etkileyen yeni bir sıfır tıklama (zero-click) güvenlik açığı nedeniyle acil bir güvenlik yaması yayımladı. CVE-2025-55177 ve CVE-2025-43300 kodlarıyla kayıt altına alınan açık, herhangi bir kullanıcı etkileşimi olmadan zararlı kodların çalıştırılmasına olanak tanıyor.

Uzmanlara göre açık, uygulamanın “bağlı cihaz senkronizasyonu” ve “otomatik medya işleme” özelliklerini hedef alıyor. Bu sayede saldırganlar, kurbana herhangi bir dosya açtırmadan veya bağlantıya tıklatmadan cihazda uzaktan kod çalıştırabiliyor.

Zafiyetin temelinde Apple platformlarında kullanılan görsel işleme kütüphanesindeki bir “out-of-bounds” belleğe taşma hatası bulunuyor. Saldırı, özel hazırlanmış bir .DNG uzantılı dosyanın işlenmesiyle tetikleniyor.

Saldırıların sınırlı sayıda yüksek riskli kullanıcıyı hedef aldığı bildirildi. Ancak Meta, tüm kullanıcıların derhal güncellemelerini yapmasını tavsiye etti.

Etkilenen sürümler:

• WhatsApp for iOS: 2.25.21.73 öncesi sürümler

• WhatsApp Business for iOS: 2.25.21.78 öncesi sürümler

• WhatsApp for Mac: 2.25.21.78 öncesi sürümler

Önerilen güvenlik adımları:

• WhatsApp ve işletim sisteminin en güncel sürümlerine geçilmesi.

• Otomatik medya indirme ve bağlı cihaz özelliklerinin geçici olarak devre dışı bırakılması.

• Güvenilir bir kaynak üzerinden cihaz taraması yapılması veya olay müdahale ekibiyle analiz gerçekleştirilmesi.

• Kritik hesaplarda kimlik bilgisi ve parolaların güvenli cihazdan yenilenmesi.

• Ağ bağlantı kayıtları, zaman damgaları ve dosya geçmişlerinin adli analiz için saklanması.

Uzmanlar, bu tür “zero-click” açıklarının yüksek hedefli siber casusluk faaliyetlerinde kullanıldığına dikkat çekerek tüm kullanıcıların hızlı şekilde güncelleme yapması gerektiğini belirtti.

Ajans Expres Gazetesi