WhatsApp enthüllt kritische Sicherheitslücken in älteren App-Versionen, die es Angreifern ermöglichen, Telefone per Videoanruf auszunutzen

WhatsApp, der Instant Messaging- und Anrufdienst von Meta, hat Details zu einer „kritischen“ Schwachstelle veröffentlicht, die in einer neueren Version der App gepatcht wurde, aber möglicherweise noch ältere installierte Versionen betrifft, die nicht aktualisiert wurden.

Die Details zur Schwachstelle waren enthüllt in einem September-Update der WhatsApp-Seite zu Sicherheitshinweisen, die die App betreffen und am 23. September ans Licht kamen.

WhatsApp teilte in dem Update ein detailliertes Problem im Zusammenhang mit der Schwachstelle CVE-2022-36934, wonach „ein ganzzahliger Überlauf in WhatsApp für Android vor v2.22.16.12, Business für Android vor v2.22.16.12, iOS vor v2.22.16.12 konnte Business für iOS vor v2.22.16.12 zu einer Remotecodeausführung in einem etablierten Videoanruf führen.“

Den Details zufolge würde der Fehler es einem Angreifer ermöglichen, einen Integer-Überlauf auszunutzen, wonach er über einen speziell gestalteten Videoanruf Zugriff auf die Ausführung seines eigenen Codes auf dem Smartphone eines Opfers erhalten kann.

Diese Schwachstelle wurde auf der CVE-Skala mit einem Schweregrad von 9.8 von 10 bewertet.

In derselben Sicherheitsempfehlungsaktualisierung erklärte WhatsApp auch eine weitere Schwachstelle, CVE-2022-27492. Laut dem Social-Media-Unternehmen könnte „ein Integer-Unterlauf in WhatsApp für Android vor v2.22.16.2, WhatsApp für iOS v2.22.15.9 beim Empfang einer manipulierten Videodatei eine Remote-Code-Ausführung verursacht haben.“

Der Fehler würde es Angreifern jedoch ermöglichen, den Code auf dem Smartphone des Opfers mithilfe einer bösartigen Videodatei auszuführen. Die Schwachstelle wurde mit 7.8 von 10 Punkten bewertet.

In einer Indien-bezogenen Entwicklung für die Social-Media-Plattform hat der Leiter des indischen Zahlungsgeschäfts von WhatsApp, Manesh Mahatme, nach mehr als einem Jahr bei dem Meta Platforms-eigenen Unternehmen gekündigt, um sich Amazon India anzuschließen, teilte eine Quelle Reuters am Donnerstag mit.

Der Ausstieg von Mahatme kommt zu einem kritischen Zeitpunkt für WhatsApp, das seinen Zahlungsdienst in einem hart umkämpften Markt ausbauen und mit etablierteren Akteuren wie Google Pay von Alphabet, Paytm mit Unterstützung der Ant Group und PhonePe von Walmart zusammenarbeiten möchte.

Während seiner Tätigkeit bei WhatsApp Pay erhielt das Unternehmen die behördliche Genehmigung, sein Zahlungsangebot für 100 Millionen Nutzer in Indien, seinem größten Markt mit insgesamt mehr als einer halben Milliarde Nutzern, mehr als zu verdoppeln.