Компания Meta (признана экстремистской организацией и запрещена в Российской Федерации) предупредила пользователей своего мессенджера WhatsApp для ОС Windows о необходимости незамедлительно обновить его до последней версии - WhatsApp 2.2450.6. Все предыдущие версии могут быть использованы злоумышленниками для эксплуатации недавно выявленной уязвимости. Она получила идентификатор CVE-2025-30401 и была обнаружена сторонним специалистом, который сообщил о ней в рамках программы премирования исследователей Meta Bug Bounty.

Уязвимость потенциально позволяет злоумышленникам осуществить спуфинг - подмену типа файла. Как сказано в сообщении Meta, WhatsApp всех предыдущих версий отображал приложенные к сообщениям файлы в соответствии с их MIME-типом. Однако программа для открытия файла выбиралась на основе расширения его имени. Это предоставляло киберпреступникам возможность создания вредоносных файлов, при открытии которых получателем вручную на Windows-устройствах выполнялся произвольный код вместо просмотра содержимого файла.

Компания Meta не уточняет, использовалась ли эксплуатация уязвимости CVE-2025-30401 в реальных атаках. Стоит напомнить, что менее года назад в WhatsApp уже была исправлена сходная уязвимость - она позволяла без предупреждения запускать на Windows-устройствах с установленным Python коды Python и PHP из сообщений в WhatsApp.