Facebook heeft een ernstig beveiligingslek in WhatsApp gedicht waardoor een aanvaller op afstand willekeurige code op telefoons had kunnen uitvoeren. Alleen het versturen van een kwaadaardig MP4-bestand naar een WhatsApp-gebruiker was voldoende om "remote code execution" mogelijk te maken.
Het probleem werd veroorzaakt door het verwerken van de metadata van een MP4-bestand. Het beveiligingslek is verholpen in WhatsApp voor Android versie 2.19.274, WhatsApp voor iOS versie 2.19.10, WhatsApp Enterprise Client versies 2.25.3, WhatsApp voor Windows Phone versie 2.18.368 en WhatsApp Business voor Android versie 2.19.104 en WhatsApp voor Business voor iOS versie 2.19.10. WhatsApp-versies voor de net genoemde versienummers zijn kwetsbaar. Gebruikers krijgen het advies om naar de laatste versie te updaten.
Facebook laat niet weten of er misbruik van het beveiligingslek is gemaakt. Eerder dit jaar bleek dat een andere kwetsbaarheid in WhatsApp die remote code execution mogelijk maakte actief was gebruikt om gebruikers met spyware te infecteren. Om dit lek te misbruiken volstond het voor aanvallers om slachtoffers via WhatsApp te bellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.