Facebook hat einen Sicherheitshinweis zu einer Lücke veröffentlicht, die ausschließlich ältere Versionen des Instant-Messaging-Diensts WhatsApp (Android, iOS, Windows Phone, Business API) betrifft. Angreifer könnten sie ausnutzen, indem sie eine speziell präparierte MP4-Datei via WhatsApp verschicken.
Laut Facebooks Sicherheitshinweis soll die Sicherheitslücke mit der Kennung CVE-2019-11931 sowohl das Ausführen von Code aus der Ferne als auch das Auslösen eines Denial-of-Service-Zustands auf dem betreffenden mobilen Gerät ermöglichen.
Angaben dazu, ob der Empfänger der MP4-Datei diese öffnen müsste, um den Exploit zu triggern, macht Facebook nicht. Ebenso wenig darüber, ob die Lücke in freier Wildbahn ausgenutzt wird oder wurde.
Verwundbare WhatsApp-Versionen
Als anfällig für CVE-2019-11931 führt Facebook die folgenden WhatsApp-Versionen auf:
- Android: WhatsApp-Versionen vor 2.19.274 & WhatsApp Business vor 2.19.104
- iOS: WhatsApp & WhatsApp Business jeweils vor 2.19.100
- Windows Phone (ab Jahresende nicht mehr unterstützt / kein Download verfügbar) : WhatsApp <= Version 2.18.368
- "Enterprise Client versions" vor 2.25.3 (gemeint sind hiermit wohl Unternehmenslösungen, die auf der WhatsApp Business API basieren/"WhatsApp Business Solution")
Die Aktualisierung von WhatsApp erfolgt standardmäßig automatisch. Somit sollten die meisten Nutzer bereits vor Angriffen geschützt sein. Beispielsweise ist die als verwundbar genannte WhatsApp-Version 2.19.274 bereits Anfang Oktober erscheinen; aktuell ist Version 2.19.329.
Dennoch ist es ratsam, einen Blick in die App ("Einstellungen --> Hilfe --> App-Info") zu werfen und die aktuellste Version gegebenenfalls manuell zu installieren.
Quelle: Lücke in älteren WhatsApp-Versionen erlaubte Codeausführung aus der Ferne | heise online