Lücke in älteren WhatsApp-Versionen erlaubte Codeausführung aus der Ferne
Facebook weist auf eine Lücke in dem Messenger WhatsApp hin. Viele Geräte sollten dank automatischer Updates bereits seit einiger Zeit geschützt sein.
![WhatsApp](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/7/8/9/1/3/4/shutterstock_1009504162-8b57f3b8fd39947c.jpeg)
(Bild: BigTunaOnline/Shutterstock.com)
Facebook hat einen Sicherheitshinweis zu einer Lücke veröffentlicht, die ausschließlich ältere Versionen des Instant-Messaging-Diensts WhatsApp (Android, iOS, Windows Phone, Business API) betrifft. Angreifer könnten sie ausnutzen, indem sie eine speziell präparierte MP4-Datei via WhatsApp verschicken.
Laut Facebooks Sicherheitshinweis soll die Sicherheitslücke mit der Kennung CVE-2019-11931 sowohl das Ausführen von Code aus der Ferne als auch das Auslösen eines Denial-of-Service-Zustands auf dem betreffenden mobilen Gerät ermöglichen.
Angaben dazu, ob der Empfänger der MP4-Datei diese öffnen müsste, um den Exploit zu triggern, macht Facebook nicht. Ebenso wenig darüber, ob die Lücke in freier Wildbahn ausgenutzt wird oder wurde.
Verwundbare WhatsApp-Versionen
Als anfällig für CVE-2019-11931 führt Facebook die folgenden WhatsApp-Versionen auf:
- Android: WhatsApp-Versionen vor 2.19.274 &
WhatsApp Business vor 2.19.104 - iOS: WhatsApp & WhatsApp Business jeweils vor 2.19.100
- Windows Phone
(ab Jahresende nicht mehr unterstützt / kein Download verfügbar) :
WhatsApp <= Version 2.18.368 - "Enterprise Client versions" vor 2.25.3
(gemeint sind hiermit wohl Unternehmenslösungen, die auf der WhatsApp Business API basieren/"WhatsApp Business Solution")
Die Aktualisierung von WhatsApp erfolgt je nach Update-Einstellungen automatisch; somit sollten viele Nutzer bereits vor Angriffen geschützt sein. Beispielsweise ist die als verwundbar genannte WhatsApp-Version 2.19.274 bereits Anfang Oktober erscheinen; aktuell ist Version 2.19.329.
Jedenfalls ist es ratsam, einen Blick in die App ("Einstellungen --> Hilfe --> App-Info") zu werfen und die aktuellste Version gegebenenfalls manuell zu installieren.
Update 15.11.19, 16:40: Inhaltliche Korrektur (Update erfolgt natürlich nicht "standardmäßig" automatisch. Danke für den Hinweis.)
(ovw)