WhatsApp für Android: Lücke erlaubte Fernzugriff über manipulierte Bilddateien

In WhatsApp für Android vor Version 2.19.244 klafft eine Sicherheitslücke. Angreifer hätten sie missbrauchen können, um beliebigen Code auszuführen, auf Dateien innerhalb von WhatsApp (einschließlich der Nachrichten-Datenbank) zuzugreifen und Denial-of-Service-Zustände herbeizuführen. In Kombination mit einer zweiten verwundbaren Anwendung wie etwa einem Browser wären auch Remote-Angriffe möglich gewesen.

Facebook hat bereits vergangene Woche einen Sicherheitshinweis zu der Lücke mit der CVE-Nummer CVE-2019-11932 veröffentlicht. Ihm ist zu entnehmen, dass die Lücke bereits in Version 2.19.244 des Messengers geschlossen wurde. Die letzte Aktualisierung im Play Store erfolgte am 3. Oktober. Der Entdecker der Lücke hat einen Proof-of-Concept-Exploit entwickelt, den er selbst erfolgreich unter Android 8.1 und 9.0 getestet hat. Auf Android-Versionen vor 8.1 funktioniere dieser allerdings nicht.

Quelle: https://www.heise.de/security/meldung/WhatsApp-fuer-Android-Luecke-erlaubte-Fernzugriff-ueber-manipulierte-Bilddateien-4546958.html