Опасная уязвимость в WhatsApp для Windows: файлы могут запускать вирусы
Компания Meta сообщила о критической уязвимости в WhatsApp Desktop для Windows, которая позволяет запускать вредоносный код при открытии обычных на вид файлов. Проблема касается всех версий мессенджера до обновления 2.2450.6.
Как работает уязвимость (CVE-2025-30401)
Суть проблемы — в несоответствии между типом файла (MIME) и его расширением. WhatsApp создает предварительный просмотр вложений на основе MIME-метки (например, как изображение), но открывает файл, опираясь на расширение, которое использует Windows (например, .exe). Это дает хакерам возможность маскировать исполняемые файлы под картинки или документы.
"Вредоносное несоответствие могло привести к тому, что получатель непреднамеренно выполнил произвольный код вместо просмотра вложения", — сообщили в Meta.
Насколько это опасно?
Чтобы сработала атака, пользователь должен сам открыть зараженный файл вручную. Однако, по данным Meta, большинство пользователей часто открывают вложения автоматически, особенно если они пришли из доверенных источников — семейных или рабочих чатов.
При активации такой файл может запустить вредоносную программу прямо на компьютере, не вызывая подозрений.
Что делать?
Убедитесь, что WhatsApp Desktop обновлен до версии 2.2450.6 или новее. Чтобы проверить версию: нажмите на шестеренку в правом нижнем углу приложения; выберите "Справка"; проверьте номер версии.
Если вы используете устройство, управляемое организацией (например, школой или работодателем), обратитесь в ИТ-отдел для обновления приложения.
Meta подчеркивает, что на данный момент нет данных о реальном использовании уязвимости, но призывает немедленно обновиться в целях безопасности.
У WhatsApp уже был опыт с подобными атаками. В июле 2024 года была выявлена уязвимость, позволявшая запускать PHP- и Python-скрипты без предупреждения, если у пользователя был установлен Python. В начале 2025 года Meta обвинила израильскую компанию Paragon в использовании WhatsApp для установки шпионской программы Graphite. Одним из самых громких случаев стало дело против NSO Group, которая, по данным суда, использовала WhatsApp для заражения около 1400 устройств с помощью эксплойтов, не требующих взаимодействия пользователя — так называемых "zero-click".