Wer aufgrund einer Sicherheitslücke mit „High“- Einstufungen hat, sollte WhatsApp fürs iPhone in Kombination mit der Desktop-Variante, zügig updaten.
Facebook hat eine Sicherheitslücke in der iPhone-Ausgabe des WhatsApp Messenger geschlossen, die ausschließlich in Kombination mit bestimmten Versionen des – ebenfalls gefixten – Desktop-Clients ausnutzbar war.
Laut Facebooks Sicherheitshinweise zu CVE-2019-18462, hätten die entfernten Angreifer die Sicherheitslücke für Cross-Site-Scripting-Angriffe und zum anschließenden Auslesen lokal gespeicherter Dateien missbrauchen können – letzteres bezieht sich der Lücken auf Dateien auf dem Rechner, wo WhatsApp auf dem Desktop installiert ist. Informationen zufolge betrifft es sowohl Windows als auch macOS.
Zeitnah sollten Nutzer auf die abgesicherte Versionen des Messenger updaten, beziehungsweise überprüfen, welche Versionen installiert sind. WhatsApp fürs iPhone ab Version 2.20.10 sowie WhatsApp Desktop ab Version 0.39309 aufwärts schließen die Lücke. Aktuelle Versionen sind derzeit 2.20.21 und 0.4.315. Nicht zu verwechseln sind die Versionen mit „WhatsApp Web“, dass im Browser läuft und daher keiner Aktualisierung durch den Nutzer bedarf.
Das Auslesen von Dateien auf Macs und Windows-Rechnern war nur dann möglich, wenn iPhone- und Desktop-Anwedungen gekoppelt waren. Potenzielle Opfer hätten demnach auf einen Link mit einer präparierten Nachricht klicken müssen um den Cross-Site-Scripting-Angriffe zu aktivieren.
Der Entdecker der Lücke erläutert in einem Blogeintrag, wie er auf diesem Wege den Inhalt von Dateien auslesen konnte und das man mit diesem Wissen unter Umständen auch eine Codeausführung aus der Ferne( Remote Code Execution) möglich sein könnte.