Alert!

WhatsApp: Kritische Sicherheitslücke erlaubt Codeschmuggel bei Videoanrufen

Zwei Sicherheitslücken in WhatsApp ermöglichen Angreifern, Opfern Schadcode unterzujubeln. Aktualisierte App-Versionen dichten die Lecks ab.

26

(Bild: heise online)

25.09.2022, 12:19 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Mit den "September Update" genannten WhatsApp-Versionen schließen die Entwickler zwei Sicherheitslücken, durch die Angreifer arglosen Opfern Schadcode hätten unterschieben können. Eine der Lücken ist dabei so gravierend, dass sie die Einstufung als kritisches Sicherheitsrisiko erhalten hat.

Detailinformationen nicht verfügbar

Tiefergehende Details nennen weder WhatsApp noch die Einträge in der Common-Vulnerabilities-and-Exposures-Datenbank des NIST. Denen lässt sich jedoch entnehmen, dass ein Integer-Überlauf bei laufenden Videoanrufen in die Ausführung von untergeschobenem Code münden könnte (CVE-2022-36934, CVSS 9.8, Risiko "kritisch").

Die zweite Schwachstelle beruht auf einem möglichen Integer-Unterlauf, der beim Empfang sorgsam präparierter Videodateien auftreten kann. Dadurch könnten Angreifer ebenfalls Schadcode einschleusen, erläutert der Hinweis in der WhatsApp-Sicherheitsmeldung (CVE-2022-27492, CVSS 7.8, hoch).

Die letzte Lücke betrifft WhatsApp für Android vor Version 2.22.16.2 sowie für iOS vor Version 2.22.15.9. Die kritische Schwachstelle war zudem in den WhatsApp-Fassungen vor 2.22.16.12 für Android sowie vor 2.22.16.12 für iOS vorhanden und betrifft auch deren Business-Versionen.

In den jeweiligen App-Stores sind inzwischen fehlerbereinigte Versionen verfügbar. Unter Android ist derzeit etwa WhatsApp 2.22.19.76 aktuell. WhatsApp-Nutzer sollten prüfen, welche Version auf ihrem Smartphone zum Einsatz kommt, und gegebenenfalls etwa mittels Deinstallation und Neuinstallation aus dem offiziellen App-Store der eigenen Plattform die Migration auf eine aktuelle Fassung vornehmen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Vor etwa einem halben Jahr hatte die Dritthersteller-Bibliothek PJSIP mit Schwachstellen zu kämpfen. Die kommt im WhatsApp-Messenger zum Einsatz. Damals war jedoch unklar, ob dadurch auch der Messenger selbst verwundbar war.