Mit den "September Update" genannten WhatsApp-Versionen schließen die Entwickler zwei Sicherheitslücken, durch die Angreifer arglosen Opfern Schadcode hätten unterschieben können. Eine der Lücken ist dabei so gravierend, dass sie die Einstufung als kritisches Sicherheitsrisiko erhalten hat.
Die zweite Schwachstelle beruht auf einem möglichen Integer-Unterlauf, der beim Empfang sorgsam präparierter Videodateien auftreten kann. Dadurch könnten Angreifer ebenfalls Schadcode einschleusen, erläutert der Hinweis in der WhatsApp-Sicherheitsmeldung (CVE-2022-27492, CVSS 7.8, hoch).
Die letzte Lücke betrifft WhatsApp für Android vor Version 2.22.16.2 sowie für iOSvor Version 2.22.15.9. Die kritische Schwachstelle war zudem in den WhatsApp-Fassungen vor 2.22.16.12 für Android sowie vor 2.22.16.12 für iOS vorhanden und betrifft auch deren Business-Versionen.
In den jeweiligen App-Stores sind inzwischen fehlerbereinigte Versionen verfügbar. Unter Android ist derzeit etwa WhatsApp 2.22.19.76 aktuell. WhatsApp-Nutzer sollten prüfen, welche Version auf ihrem Smartphone zum Einsatz kommt, und gegebenenfalls etwa mittels Deinstallation und Neuinstallation aus dem offiziellen App-Store der eigenen Plattform die Migration auf eine aktuelle Fassung vornehmen.
Vor etwa einem halben Jahr hatte die Dritthersteller-Bibliothek PJSIP mit Schwachstellen zu kämpfen. Die kommt im WhatsApp-Messenger zum Einsatz. Damals war jedoch unklar, ob dadurch auch der Messenger selbst verwundbar war.
Quelle: heise
Detailinformationen nicht verfügbar
Tiefergehende Details nennen weder WhatsApp noch die Einträge in der Common-Vulnerabilities-and-Exposures-Datenbank des NIST. Denen lässt sich jedoch entnehmen, dass ein Integer-Überlauf bei laufenden Videoanrufen in die Ausführung von untergeschobenem Code münden könnte (CVE-2022-36934, CVSS 9.8, Risiko "kritisch").Die zweite Schwachstelle beruht auf einem möglichen Integer-Unterlauf, der beim Empfang sorgsam präparierter Videodateien auftreten kann. Dadurch könnten Angreifer ebenfalls Schadcode einschleusen, erläutert der Hinweis in der WhatsApp-Sicherheitsmeldung (CVE-2022-27492, CVSS 7.8, hoch).
Die letzte Lücke betrifft WhatsApp für Android vor Version 2.22.16.2 sowie für iOSvor Version 2.22.15.9. Die kritische Schwachstelle war zudem in den WhatsApp-Fassungen vor 2.22.16.12 für Android sowie vor 2.22.16.12 für iOS vorhanden und betrifft auch deren Business-Versionen.
In den jeweiligen App-Stores sind inzwischen fehlerbereinigte Versionen verfügbar. Unter Android ist derzeit etwa WhatsApp 2.22.19.76 aktuell. WhatsApp-Nutzer sollten prüfen, welche Version auf ihrem Smartphone zum Einsatz kommt, und gegebenenfalls etwa mittels Deinstallation und Neuinstallation aus dem offiziellen App-Store der eigenen Plattform die Migration auf eine aktuelle Fassung vornehmen.
Vor etwa einem halben Jahr hatte die Dritthersteller-Bibliothek PJSIP mit Schwachstellen zu kämpfen. Die kommt im WhatsApp-Messenger zum Einsatz. Damals war jedoch unklar, ob dadurch auch der Messenger selbst verwundbar war.
Quelle: heise