Lỗ hổng CVE WhatsApp nghiêm trọng: Cần vá ngay

CVE-2026-23866 và CVE-2026-23863 là hai lỗ hổng CVE ảnh hưởng đến WhatsApp trên nhiều nền tảng, trong đó CVE-2026-23866 liên quan đến xử lý phản hồi giàu nội dung của Instagram Reels, còn CVE-2026-23863 là lỗi giả mạo tệp đính kèm trên WhatsApp for Windows.

CVE-2026-23866: Lỗi xử lý URL trong tích hợp Instagram Reels

CVE-2026-23866 được phân loại mức trung bình và xuất phát từ việc xác thực chưa đầy đủ các thông điệp phản hồi giàu nội dung do AI tạo ra khi hiển thị Instagram Reels trong WhatsApp. Lỗ hổng CVE này có thể cho phép tác nhân đe dọa kích hoạt xử lý URL tùy ý trên thiết bị nạn nhân.

Theo mô tả kỹ thuật, khi người dùng tương tác hoặc nhận một thông điệp dạng này, ứng dụng không kiểm tra đủ chặt chẽ nguồn URL của nội dung media được nhúng. Điều này cho phép tạo một thông điệp được định dạng đặc biệt, khiến thiết bị của nạn nhân tìm nạp và xử lý media từ một URL bất kỳ do kẻ tấn công kiểm soát.

Hậu quả tiềm ẩn là gọi các trình xử lý custom URL scheme ở cấp hệ điều hành mà không cần sự đồng ý rõ ràng từ người dùng. Đây là một dạng lỗ hổng CVE có thể dẫn đến hành vi xử lý nội dung ngoài ý muốn trên thiết bị di động.

Phiên bản bị ảnh hưởng

• WhatsApp for iOS: v2.25.8.0 đến v2.26.15.72
• WhatsApp for Android: v2.25.8.0 đến v2.26.7.10

Phân tích kỹ thuật

Điểm yếu cốt lõi của CVE-2026-23866 nằm ở cách WhatsApp xử lý các thông điệp phản hồi giàu nội dung do AI tạo ra, đặc biệt khi hiển thị nội dung Instagram Reels. Nếu nguồn URL nhúng không được kiểm tra đúng cách, ứng dụng có thể chuyển sang xử lý một tài nguyên ngoài miền tin cậy.

Với lỗ hổng CVE này, điều đáng chú ý không phải là thực thi mã từ xa trực tiếp, mà là khả năng điều hướng thiết bị tới URL độc hại và kích hoạt hành vi ở lớp hệ điều hành. Điều đó làm tăng rủi ro bảo mật trong các kịch bản nhắm mục tiêu.

CVE-2026-23863: Lỗi giả mạo tệp đính kèm trên WhatsApp for Windows

CVE-2026-23863 là một lỗ hổng CVE thuộc dạng attachment spoofing, ảnh hưởng đến WhatsApp for Windows trước phiên bản v2.3000.1032164386.258709. Lỗi này không yêu cầu đặc quyền đặc biệt để khai thác, nhưng chỉ cần một cú nhấp từ người dùng không nghi ngờ.

Nguyên nhân gốc nằm ở cách ứng dụng xử lý tên tệp chứa embedded NUL bytes, tức ký tự null (\x00) được chèn vào chuỗi tên tệp. Kỹ thuật này còn được gọi là NUL byte injection hoặc null byte poisoning.

Vấn đề phát sinh do khác biệt giữa cách lớp logic cấp cao của ứng dụng và các lời gọi hệ thống cấp thấp diễn giải tên tệp. Kết quả là nội dung hiển thị và đối tượng thực tế được hệ thống xử lý có thể khác nhau, tạo điều kiện cho hành vi giả mạo tệp đính kèm.

Ảnh hưởng hệ thống

• Giả mạo tệp đính kèm trong giao diện người dùng.
• Tăng rủi ro người dùng mở nhầm tệp không mong muốn.
• Có thể bị lạm dụng trong các chiến dịch tấn công mạng nhắm mục tiêu.

Phiên bản bị ảnh hưởng

• WhatsApp for Windows: trước v2.3000.1032164386.258709

Trạng thái khai thác và đánh giá rủi ro

Tại thời điểm công bố, Meta cho biết chưa ghi nhận bằng chứng về việc khai thác tích cực trong thực tế. Thông tin này phù hợp với đánh giá của một cảnh báo CVE ở giai đoạn phát hành bản vá.

Dù vậy, bề mặt tấn công rộng và số lượng người dùng WhatsApp toàn cầu rất lớn khiến khả năng bị vũ khí hóa của lỗ hổng CVE vẫn đáng chú ý. Rủi ro bảo mật đặc biệt cao trong các bối cảnh nhắm mục tiêu, bao gồm chiến dịch gián điệp hoặc tấn công có chủ đích.

Để đối chiếu thông tin định danh và trạng thái công bố, có thể xem thêm tại NVD: https://nvd.nist.gov/.

Khuyến nghị xử lý

Các đội ngũ bảo mật và người dùng cá nhân cần ưu tiên cập nhật bản vá cho WhatsApp trên toàn bộ thiết bị bị ảnh hưởng. Với các lỗ hổng CVE dạng này, việc trì hoãn cập nhật làm tăng nguy cơ bị khai thác qua nội dung tưởng như hợp lệ.

Nếu môi trường có kiểm soát đầu cuối, nên xác nhận phiên bản ứng dụng đang triển khai và đối chiếu với các ngưỡng đã nêu ở trên. Trong bối cảnh an toàn thông tin, các bản vá nên được áp dụng đồng bộ cho cả iOS, Android và Windows.

Để theo dõi thông tin công bố và bản vá liên quan, tham khảo trang advisory chính thức của WhatsApp: https://www.whatsapp.com/security/advisories/2026/.

Điểm cần lưu ý cho phát hiện xâm nhập

• Giám sát các hành vi xử lý URL bất thường từ nội dung Reels.
• Kiểm tra các dấu hiệu giả mạo tệp đính kèm trên WhatsApp for Windows.
• Đối chiếu phiên bản ứng dụng với phạm vi ảnh hưởng của lỗ hổng CVE.

IOC

• Không có IOC cụ thể được công bố trong nội dung nguồn.

Thông tin kỹ thuật tóm lược

CVE-2026-23866 tập trung vào lỗi xác thực URL trong nội dung giàu media của Instagram Reels trên WhatsApp di động. CVE-2026-23863 là lỗi giả mạo tệp đính kèm do xử lý sai tên tệp chứa NUL byte trên Windows. Cả hai đều là lỗ hổng CVE cần cập nhật bản vá sớm để giảm rủi ro bảo mật và ngăn tấn công mạng lợi dụng hành vi xử lý nội dung của ứng dụng.