Meta 旗下的 WhatsApp 發布了兩份新的安全公告，描述了這款熱門通訊應用程式中今年稍早修復的漏洞。其中一個漏洞是 CVE-2026-23863，這是一個中等影響的附件欺騙問題，會影響 Windows 版 WhatsApp 2.3000.1032164386.258709 之前的版本。

攻擊者可以利用此漏洞建立惡意格式文檔，並在文件名稱中嵌入空字節（NUL）。 WhatsApp的安全公告解釋說，當作為附件發送時，收件人會將其視為無害文件，但打開後它會作為可執行文件運行。

第二個漏洞 CVE-2026-23866 也被評為「中等影響」。它會影響 iOS 版 WhatsApp（版本 2.25.8.0-v2.26.15.72）和 Android 版 WhatsApp（版本 2.25.8.0-v2.26.7.10）。據 WhatsApp 稱，對 Instagram Reels 的 AI 豐富文本回覆訊息驗證不完整，可能使攻擊者能夠「觸發對其他用戶設備上任意 URL 的媒體內容的處理，包括觸發作業系統控制的自訂 URL 方案處理程序」。

WhatsApp 沒有分享更多信息，但在實際攻擊場景中，這種自訂 URL 方案漏洞可能允許攻擊者將用戶重定向到釣魚網站，並透過 facetime:、tel:、itms-apps: 或自訂應用程式深度連結等 URL 方案在裝置上啟動其他應用程式和服務。

WhatsApp 表示，這兩個漏洞都是由匿名研究人員透過 Meta 漏洞賞金計畫負責任地揭露的。該公司表示，沒有證據顯示有野生動物剝削行為。

資料來源：https://www.securityweek.com/whatsapp-discloses-file-spoofing-arbitrary-url-scheme-vulnerabilities/