Meta corrige duas falhas no WhatsApp para iOS, Android e Windows

A Meta divulgou dois boletins de segurança descrevendo vulnerabilidades corrigidas no WhatsApp. As falhas afetam versões do aplicativo para iOS, Android e Windows, e poderiam ser exploradas para enganar usuários com arquivos disfarçados ou para acionar funções do celular sem que a vítima percebesse. Nenhuma das duas tem registro de exploração ativa.

As duas foram reportadas por pesquisadores externos pelo programa de bug bounty da Meta. A primeira vulnerabilidade, identificada como CVE-2026-23863, afeta o WhatsApp para Windows em versões anteriores à v2.3000.1032164386.258709. A falha é classificada como spoofing de anexo, basicamente uma técnica que faz um arquivo malicioso parecer um tipo diferente de arquivo para quem recebe. Para entender o problema, é preciso saber como sistemas operacionais identificam arquivos. O Windows usa a extensão no final do nome, como .pdf ou .docx, para decidir o que fazer quando o arquivo é aberto. O WhatsApp também lê esse nome para exibir o ícone correto na conversa.

O que a falha permitia era enganar essa leitura usando um caractere invisível chamado byte NUL, representado como x00. Esse caractere funciona como um ponto de parada para alguns sistemas. O WhatsApp lia o nome do arquivo, encontrava o byte NUL, parava ali e exibia o arquivo como um documento comum. O Windows, por sua vez, ignorava esse caractere e continuava lendo o restante do nome, onde estava a extensão real do arquivo.