Faille de sécurité : Meta met à jour une vulnérabilité dans ses produits WhatsApp

Vendredi dernier, Meta a publié un nouveau bulletin de sécurité pour révéler l'existence d'une faille de sécurité zero-day et de type "zero-click", c'est-à-dire ne nécessitant aucune interaction de la part de l'utilisateur. Selon WhatsApp, cette vulnérabilité associée à la référence CVE-2025-55177 est liée à une mauvaise gestion des autorisations lors de la synchronisation des appareils.

Dans le bulletin de sécurité de WhatsApp, il a été précisé qu'une autorisation incomplète des messages de synchronisation des appareils liés dans WhatsApp aurait pu permettre à un utilisateur non lié de déclencher le traitement du contenu d’une URL arbitraire sur l’appareil de la cible.

Cependant, cette vulnérabilité dans WhatsApp semble fait partie d'une chaîne d'exploitation plus complexe. WhatsApp précise que la faille a été exploitée conjointement avec une vulnérabilité présente dans le système d'exploitation d'Apple, associée à la référence CVE-2025-43300. En août 2025, Apple avait justement publié des correctifs pour patcher cette vulnérabilité, en précisant qu'elle avait été exploitée dans une attaque extrêmement sophistiquée.

Risques

• Déclenchement du traitement du contenu à partir d'une URL arbitraire sur l'appareil d'une cible
• Attaque sophistiquée contre des utilisateurs ciblés spécifiques
• Attaque extrêmement sophistiquée 

Systèmes affectés

• WhatsApp pour iOS avant la version 2.25.21.73
• WhatsApp Business pour iOS avant la version 2.25.21.78
• WhatsApp pour Mac avant la version 2.25.21.78

Solutions

• Mettre à jour les versions mentionnées au niveau des systèmes affectés pour être protégé de cette vulnérabilité

Source :  WhatsApp