- Meta corrigiu duas falhas no WhatsApp para iOS, Android e Windows, identificadas como CVE-2026-23863 e CVE-2026-23866, sem evidência de exploração ativa.
- CVE-2026-23863, em versões do WhatsApp para Windows anteriores à v2.3000.1032164386.258709, permitia spoofing de anexo, fazendo um arquivo malicioso parecer um documento comum.
- Essa falha poderia levar a execução de código malicioso ao abrir o arquivo enganosamente apresentado como PDF.
- CVE-2026-23866 afetava o WhatsApp para iOS (v2.25.8.0 a v2.26.15.72) e Android (v2.25.8.0 a v2.26.7.10) ao processar previews de vídeos do Instagram Reels, permitindo redirecionamentos ou ações silenciosas via URLs manipuladas.
- Recomenda-se atualizar para as versões seguras: Windows v2.3000.1032164386.258709 ou superior; iOS posterior a v2.26.15.72; Android posterior a v2.26.7.10.
Meta corrige duas falhas no WhatsApp para iOS, Android e Windows, segundo boletins de segurança divulgados pela companhia. As vulnerabilidades, identificadas como CVE-2026-23863 e CVE-2026-23866, afetavam versões do app em Windows, iOS e Android. Não houve registro de exploração ativa até o momento.
As falhas poderiam ser exploradas para enganar usuários com arquivos disfarçados ou para acionar funções do dispositivo sem a anuência da vítima. As duas vulnerabilidades foram reportadas por pesquisadores externos por meio do programa de bug bounty da Meta. A companhia afirma que não há evidências de utilização real.
Vulnerabilidade CVE-2026-23863
A falha afeta o WhatsApp para Windows em versões anteriores à v2.3000.1032164386.258709 e envolve spoofing de anexo, fazendo um arquivo malicioso parecer um tipo de arquivo inofensivo ao usuário.
O funcionamento envolve o método de identificação de arquivos pelo Windows, que lê a extensão para exibir o ícone correspondente. Um caractere invisível, chamado byte NUL, interrompia a leitura do nome pelo WhatsApp, gerando aparência de documento. O Windows continuava a leitura, levando à execução de código malicioso ao abrir o arquivo.
A falha permitia que um atacante enviasse um arquivo que parecesse um PDF comum na tela do aplicativo, mas executasse código malicioso ao ser aberto no Windows. A correção já está disponível na versão v2.3000.1032164386.258709 ou superior.
Vulnerabilidade CVE-2026-23866
Essa falha envolve o WhatsApp para iOS e Android, com versões específicas suscetíveis. O problema ocorria no processamento de mensagens contendo previews de vídeos do Instagram Reels, a partir de URLs de origem externa.
Durante o processamento, a verificação de legitimidade da URL era incompleta, permitindo que mensagens formatadas inadequadamente forçassem o dispositivo a buscar conteúdo controlado pelo atacante sem ação do usuário.
A parte crítica envolve o uso de protocolos de URL personalizados pelo sistema operacional, que podem abrir apps, iniciar chamadas ou redirecionar para sites de phishing. A Meta divulgou que versões posteriores à v2.26.15.72 no iOS e v2.26.7.10 no Android não são vulneráveis.
Recomendações de atualização
A empresa orienta a atualização do WhatsApp em todos os dispositivos. No iOS, instale qualquer versão superior a v2.26.15.72. No Android, utilize versões superiores a v2.26.7.10. No Windows, a versão de segurança é v2.3000.1032164386.258709 ou superior.
A Meta ressaltou não ter encontrado evidências de exploração em uso real. Com mais de 2 bilhões de usuários ativos, a empresa reforça a importância de manter o aplicativo atualizado para reduzir a superfície de ataque.
Entre na conversa da comunidade