In der iPhone-Ausgabe des WhatsApp Messengers hat Facebook eine Sicherheitslücke geschlossen. Die Lücke war ausschließlich in Kombination mit bestimmten Versionen des Desktop Clients ausnutzbar. Letzterer wurde ebenfalls mit einem Update gefixt.

Laut Facebooks Sicherheitshinweis zu CVE-2019-18426 hätten Angreifer die Sicherheitslücke für sogenannte Cross-Site-Scripting-Angriffe missbrauchen können. Ein Auslesen lokal gespeicherter Daten wäre bei Verwendung des Desktop Client unter Windows und macOS möglich gewesen. Der Entdecker der Sicherheitslücke erläuterte in einem Blogeintrag außerdem, dass durch bestimmte ausgelesene Informationen unter Umständen auch eine Code-Ausführung aus der Ferne möglich gewesen wäre.

Benutzer des Messengers sollten möglichst zeitnah überprüfen, welche Versionen installiert sind und gegebenenfalls aktualisieren. Die Lücke ist in der Version 2.20.10 fürs iPhone und ab Version 0.3.9309 für Whatsapp Desktop geschlossen. Das im Browser laufende "WhatsApp Web" ist dabei nicht mit den Desktop Versionen zu verwechseln. Dieses bedarf keiner Aktualisierungen durch den Nutzer.

Aus Facebooks Sicherheitshinweis geht ebenfalls hervor, dass sich die Lücke nur dann ausnutzen ließ, wenn iPhone- und Desktop-Anwendung gekoppelt waren. Ein potenzielles Opfer von Cross-Site-Scripting-Angriffen hätte zudem erst auf einen Link in einer präparierten Nachricht klicken müssen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE