Sicherheitslücken in IP-Kommunkationsbibliothek PJSIP könnten WhatsApp gefährden
Die Open-Source-Software PJSIP ist verwundbar und macht Anwendungen, die sie einsetzen, potenziell angreifbar.
PJSIP ist eine freie Multimedia-Kommunikations-Bibliothek, die in vielen Projekten zum Einsatz kommt. Darunter unter anderem Asterisk und WhatsApp. Durch fünf Sicherheitslücken sind diese Anwendungen potenziell gefährdet.
Auf die Lücken sind Sicherheitsforscher von JFrog gestoßen. In einem Bericht warnen sie, dass Angreifer durch das erfolgreiche Ausnutzen von drei Schwachstellen (CVE-2021-43299 "hoch", CVE-2021-43300 "hoch", CVE-2021-43301 "hoch") Schadcode auf Systemen ausführen könnten. Setzen Angreifer an zwei weiteren Lücken an (CVE-2021-43302 "mittel", CVE-2021-43303 "mittel"), könnte das zu DoS-Zuständen führen. Um Attacken einzuleiten, müssten Angreifer Argumente an bestimmte APIs der Bibliothek übergeben.
Ist WhatsApp betroffen?
Aus der Github-Website des Projekts geht hervor, dass die Entwickler die Ausgabe PJSIP 2.12 gegen solche Attacken abgesichert haben. Es klingt so, als wären alle vorigen Ausgaben verwundbar. Wer mit der Bibliothek arbeitet, sollte den Einsatz der aktuellen Version sicherstellen.
In ihrem Bericht weisen die Sicherheitsforscher ausdrücklich darauf hin, dass sie die Sicherheitslücken ausschließlich in PJSIP entdeckt haben. Sie haben kein Projekt, das die Bibliothek einsetzt, auf Verwundbarkeiten geprüft. Es bleibt also unklar, ob beispielsweise WhatsApp betroffen ist.
(des)