Lek in WhatsApp Desktop kon toegang tot lokale bestanden geven

[Captain Kirk]

Facebook heeft een beveiligingslek in WhatsApp Desktop verholpen waardoor aanvallers toegang tot lokale bestanden van gebruikers hadden kunnen krijgen. WhatsApp-gebruikers kunnen via WhatsApp Desktop vanaf hun computer met anderen chatten. Hiervoor moet de applicatie wel zijn gekoppeld met een telefoon.

Wanneer een kwetsbare versie van WhatsApp Desktop werd gekoppeld met WhatsApp voor iPhone had een aanvaller door cross-site scripting toegang tot lokale bestanden kunnen krijgen wanneer de gebruiker een kwaadaardige link zou openen. De kwetsbaarheid werd gevonden door beveiligingsonderzoeker Gal Weizman. De onderzoeker stelt dat het beveiligingslek ook remote code execution mogelijk zou maken, waardoor het systeem had kunnen worden overgenomen. Hij ontwikkelde echter geen exploit om een dergelijke aanval te demonstreren.

Weizman waarschuwde Facebook, dat het probleem vervolgens patchte. "Het is 2020 en geen product zou via een enkel bericht van het bestandssysteem moeten kunnen lezen of in potentie remote code moeten kunnen uitvoeren", zo laat de onderzoeker weten. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,2 beoordeeld. Gebruikers krijgen het advies om te updaten naar WhatsApp Desktop versie 0.3.9309 of nieuwer en WhatsApp voor iPhone versie 2.20.10 en nieuwer.

 

 

bron: security.nl