Die Schwachstelle betrifft die Desktop-Anwendung von WhatsApp, wenn sie mit der iPhone-Version des Messengers gekoppelt ist. Der Fehler erlaubt zwei Angriffsformen: das Einschleusen von Schadcode über Cross-Site-Scripting sowie das Auslesen lokaler Dateien vom Computer des Opfers. Ausgelöst wird die Lücke über die Vorschau von Links: Ein Angreifer verschickt eine speziell präparierte Textnachricht, deren Linkvorschau manipuliert ist. Klickt das Opfer auf diese Vorschau, wird der eingeschleuste Code ausgeführt. Auf diesem Weg kann der Angreifer nicht nur fremde Skripte im Kontext der Anwendung laufen lassen, sondern auch Dateien aus dem lokalen Dateisystem auslesen und so an Inhalte gelangen, die eigentlich nur dem Nutzer zugänglich sein sollten. Der Angriff erfordert eine Aktion des Opfers, nämlich den Klick auf die Vorschau, lässt sich aber allein durch den Versand einer einzigen manipulierten Nachricht vorbereiten.
Spielen Sie die vom Hersteller bereitgestellten Updates gemäß dessen Anweisungen ein.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Bisher keine Artikel.