Für die Nutzer von WhatsApp ist es einmal mehr unabdingbar, die jüngst bereitgestellten Updates zu installieren. Denn Facebook hat in diesem eine schwerwiegende Sicherheitslücke geschlossen, die zum Daten-Diebstahl führen kann.
Entdeckt wurde die Schwachstelle vom Sicherheitsforscher Gal Weizman, der seine Erkenntnisse mit Facebook teilte, damit eine Korrektur erarbeitet werden konnte. Und diese stellte der Betreiber des WhatsApp-Netzwerkes im Zuge der Januar-Patches zur Verfügung. In den Bug-Datenbanken ist das Problem unter der Kennung CVE-2019-18426 verzeichnet.
Der Fehler betrifft die Desktop-Version der WhatsApp-Clients. In diesem fand sich eine Cross-Site-Scripting-Lücke, über die Angreifer sich einen weitergehenden Zugriff auf das System des Nutzers verschaffen konnten. Insbesondere war es so möglich, einfach durch die Zustellung einer entsprechend manipulierten Nachricht an den gewünschten Empfänger Zugang zu dessen Dateisystem zu erhalten und dort gespeicherte Informationen auszulesen.
Bug über Chromium ins Haus geholt
Von dem Problem waren sowohl die Windows- als auch die Mac-Versionen von WhatsApp Desktop betroffen. Der Fehler selbst verbarg sich in den Codes, mit denen in der Software eine Vorschau auf Inhalte erstellt wurde, die in einer Nachricht verlinkt waren. Über einfachen JavaScript-Code konnte man hier die Abkapselung des Nachrichten-Bereichs überbrücken und auf externe Daten zugreifen. Mitgebracht wurde das Problem dabei bereits von der Rendering-Engine des Chromium-Projekts, die über das Application-Framework Electron in den
WhatsApp-Clients zum Einsatz kommt.
Die Entwickler bei Facebook konnten nun auf Grundlage der Informationen Weizmans dafür sorgen, dass die Brandmauern in der App höher gezogen werden und die Nutzer gegen die beschriebenen Angriffe geschützt sind. Anwender sollten daher sicherstellen, dass sie die fragliche Software in der Version 0.3.9309 oder aktueller verwenden.
Quelle; winfuture
Entdeckt wurde die Schwachstelle vom Sicherheitsforscher Gal Weizman, der seine Erkenntnisse mit Facebook teilte, damit eine Korrektur erarbeitet werden konnte. Und diese stellte der Betreiber des WhatsApp-Netzwerkes im Zuge der Januar-Patches zur Verfügung. In den Bug-Datenbanken ist das Problem unter der Kennung CVE-2019-18426 verzeichnet.
Der Fehler betrifft die Desktop-Version der WhatsApp-Clients. In diesem fand sich eine Cross-Site-Scripting-Lücke, über die Angreifer sich einen weitergehenden Zugriff auf das System des Nutzers verschaffen konnten. Insbesondere war es so möglich, einfach durch die Zustellung einer entsprechend manipulierten Nachricht an den gewünschten Empfänger Zugang zu dessen Dateisystem zu erhalten und dort gespeicherte Informationen auszulesen.
Bug über Chromium ins Haus geholt
Von dem Problem waren sowohl die Windows- als auch die Mac-Versionen von WhatsApp Desktop betroffen. Der Fehler selbst verbarg sich in den Codes, mit denen in der Software eine Vorschau auf Inhalte erstellt wurde, die in einer Nachricht verlinkt waren. Über einfachen JavaScript-Code konnte man hier die Abkapselung des Nachrichten-Bereichs überbrücken und auf externe Daten zugreifen. Mitgebracht wurde das Problem dabei bereits von der Rendering-Engine des Chromium-Projekts, die über das Application-Framework Electron in den
WhatsApp-Clients zum Einsatz kommt.
Die Entwickler bei Facebook konnten nun auf Grundlage der Informationen Weizmans dafür sorgen, dass die Brandmauern in der App höher gezogen werden und die Nutzer gegen die beschriebenen Angriffe geschützt sind. Anwender sollten daher sicherstellen, dass sie die fragliche Software in der Version 0.3.9309 oder aktueller verwenden.
Quelle; winfuture
