Foram seis as falhas endereçadas e que o Whatsapp revelou num novo site dedicado.

Algumas destas falhas foram reportadas pelo programa de bug-bounties do Facebook, e os restantes foram descobertos durante revisões de código.

CVE-2020-1894: um stack write overflow que permitia execução de código remota quando se fizesse um push especial numa talk message. Dispositivos afetados: Android anterior a v2.20.35, WhatsApp Business para Android anterior a v2.20.20, WhatsApp para iPhone anterior a v2.20.30, e WhatsApp Business para iPhone anterior a v2.20.30.

CVE-2020-1891: escrita fora de limites, em dispositivos de 32-bit. Os dispositivos afetados incluem: WhatsApp para Android anteriores a v2.20.17, WhatsApp Business para Android anteriores a v2.20.7, WhatsApp para iPhone anterior a v2.20.20, WhatsApp Business para iPhone anterior a v2.20.20.

CVE-2020-1890: problema na validação do URL, que podia fazer com que o recipiente de uma mensagem sticker contivesse dados malformados de forma intencional e, dessa forma, carregasse uma imagem com um URL controlado pelo atacante ou emissor, sem interação do utilizador. Dispositivos afetados: versões Android do WhatsApp e WhatsApp Business para Android

De resto, foram reportadas as seguintes falhas: CVE-2020-1886: um buffer overflow no WhatsApp para Android anterior a v2.20.11 e WhatsApp Business para Android anterior a v2.20.2

CVE-2019-11928: problema de validação do input, em versões de Desktop anteriores a v0.3.4932.

Página oficial do Whatsapp para advisories: https://www.whatsapp.com/security/advisories