详细内容或原文请订阅后点击阅览

立即更新 WhatsApp:两个新缺陷可能会让您暴露于恶意文件

2026年5月5日 11:39 33 Comments
X Twitter Instagram Mail

WhatsApp 修复了可能使用户暴露于恶意内容和伪装恶意软件的缺陷。

来源:Malwarebytes Labs 博客

Meta 发布了针对消息应用程序 WhatsApp 的新安全公告,宣布针对两个漏洞发布补丁。

WhatsApp 修复了两个安全漏洞,这些漏洞可能会被滥用来干扰设备上处理媒体和附件的方式。没有证据表明这两个漏洞已在野外被利用。

这些错误不会自动感染设备,但它们降低了社会工程的门槛,并且可能与其他漏洞链接起来进行更严重的攻击。

恶意消息

第一个问题被追踪为 CVE-2026-23866,影响 WhatsApp 如何处理人工智能生成的嵌入 Instagram Reels 的“丰富回复消息”。在受影响的 iOS 和 Android 版本上,不完整的验证意味着特制的消息可能会导致应用程序从攻击者控制的 URL 加载媒体。在某些情况下,这可能会触发操作系统级自定义 URL 方案处理程序。

换句话说:诱杀消息可能会提示您的设备打开来自不受信任来源的内容。

如何更新 Android 版 WhatsApp

您可以从 Google Play 商店轻松更新 WhatsApp。

  • 打开 Google Play 商店
  • 搜索 WhatsApp Messenger
  • 点击更新

    • 注意:更新可能无法在所有区域立即提供。

    如何在 iOS 上更新 WhatsApp

    要在 iOS 上更新 WhatsApp:

  • 打开应用商店
  • 点击您的个人资料图标
  • 滚动找到 WhatsApp 并点击更新

    • 如果未列出,请搜索 WhatsApp 以检查“更新”按钮是否可用。

    误导性文件名

    第二个错误 CVE-2026-23863 影响 2.3000.1032164386.258709 之前版本的 WhatsApp for Windows。

    在这种情况下,WhatsApp 无法正确处理包含嵌入 NUL 字节的文件名。这可能允许文件在界面中显示为无害类型,而在打开时实际上被视为可执行文件。这是社会工程的经典秘诀:“单击 PDF”,但获得一个 .exe 文件。

    如何更新 Windows 版 WhatsApp

    如果您的版本号早于 2.3000.1032164386.258709,请通过 Microsoft Store 更新:

    干扰设备 商店 受影响的 特制的 iOS 漏洞 应用程序 人工智能 实际上 嵌入 WhatsApp 操作系统 设备 意味着 攻击者 打开 消息 不完整的 工程的 完整的 可能 处理程序 受影响 系统级 控制的 错误 严重的 社会 更新 点击 文件名