WhatsApp brengt update uit voor twee kritieke kwetsbaarheden

WhatsApp meldt dat het twee patches heeft uitgebracht om twee kritieke kwetsbaarheden in zowel de Android- als iOS-app te dichten. Het gaat om twee verschillende kwetsbaarheden, waarmee het mogelijk was om voor externen op afstand eigen code uit te voeren op een smartphone.

WhatsApp heeft de kwetsbaarheden zelf bekendgemaakt, nadat ze intern zijn ontdekt door medewerkers van het bedrijf. Een woordvoerder verklaart tegenover Techcrunch dat er geen aanwijzingen zijn om aan te nemen dat een van de kwetsbaarheden ook actief is misbruikt. Voor beide kwetsbaarheden heeft WhatsApp een patch uitgebracht.

De eerste kwetsbaarheid heeft volgnummer CVE-2022-36934 gekregen. Het gaat om een integer overflow die kan voorkomen tijdens een videogesprek. De kwetsbaarheid was aanwezig in de versie van WhatsApp op Android en iOS in de versie 2.22.16.12 en alle versies voor 2.22.16.12.

De tweede kwetsbaarheid betreft een integer underflow en heeft volgnummer CVE-2022-27492. Via deze kwetsbaarheid kon code op afstand worden uitgevoerd op een smartphone via een videobestand. De kwetsbaarheid op iOS zit in de versies ouder dan 2.22.15.9. Op Android gaat het om versies ouder dan 2.22.16.2.

Door Robert Zomers

Redacteur

Feedback • 27-09-2022 17:51
16 • submitter: GRV

27-09-2022 • 17:51

16

Submitter: GRV

Lees meer

Platformcertificaten van meerdere Android-fabrikanten zijn gebruikt voor malware
Platformcertificaten van meerdere Android-fabrikanten zijn gebruikt voor malware Nieuws van 2 december 2022
Bètaversie WhatsApp bevat functie die het maken van screenshots verhindert
Bètaversie WhatsApp bevat functie die het maken van screenshots verhindert Nieuws van 5 oktober 2022
Microsoft waarschuwt voor actief misbruikte kwetsbaarheden in Exchange Server
Microsoft waarschuwt voor actief misbruikte kwetsbaarheden in Exchange Server Nieuws van 30 september 2022
Europese Commissie komt met voorstel voor verplichte beveiliging apparaten
Europese Commissie komt met voorstel voor verplichte beveiliging apparaten Nieuws van 15 september 2022
Honderdduizenden Wordpress-sites aangevallen via kwetsbaarheid WPGateway-plug-in
Honderdduizenden Wordpress-sites aangevallen via kwetsbaarheid WPGateway-plug-in Nieuws van 15 september 2022
Witte Huis wil dat grote techbedrijven VS zich aan zes basisregels houden
Witte Huis wil dat grote techbedrijven VS zich aan zes basisregels houden Nieuws van 9 september 2022
Zyxel brengt update uit voor kritieke kwetsbaarheid in NAS-apparaten
Zyxel brengt update uit voor kritieke kwetsbaarheid in NAS-apparaten Nieuws van 8 september 2022
Meer producten en artikelen
Beveiliging en antivirus Apple Google Meta Android iOS Whatsapp

Reacties (16)

-Moderatie-faq
16
16
10
3
0
3
Wijzig sortering

Sorteer op:

Weergave:
willyb 28 september 2022 09:20
Opvallend is het versienummer verschil in de iOS App Store (22.x.x) versus wat je in whatsapp zelf onder Instellingen > Help (bovenin het scherm, 2.22.x.x) ziet, op het eerste getal (22 vs. 2.22).

Het gaat blijkbaar dus om wat er aan versienummers achter die 2.22 volgt, waar ik op dit moment al versies van (2.)22.19.xx zie, dus al veel nieuwer dan de versienummers die worden genoemd.
crazyboy01 @willyb28 september 2022 12:22
Betreft volgens mij inderdaad een update van zo'n twee maanden terug. Maar ook logisch dat ze het niet direct bekendmaken op de dag dat ze het uitbrengen: gebruikers moeten wel eerst even updaten voor je de aandacht op zo'n kwetsbaarheid in een oudere versie aan de grote klok hangt. En voordat het grootste deel de update heeft geïnstalleerd ben je zo weken verder.
moonlander 27 september 2022 17:58
Edit: Artikel is inmiddels aangepast

[Reactie gewijzigd door moonlander op 22 juli 2024 18:49]

ApexAlpha @moonlander27 september 2022 18:03
Er moet integer overflow staan.

Dat is een bekende kwetsbaarheid in computers: in een 32-bit getal passen maar een beperkt aantal cijfers. Zodra je op het maximale zit en dan +1 doet, dan gaat hij door naar het allerlaagste getal. Een beetje zoals een analoge meter zou doen als hij op [9][9][9][9] staat en dan nog één kilometer rijdt.

Dit levert veel problemen op als je er geen rekening mee houdt in je code en kan leiden tot beveiligingsproblemen.

En een underflow is hetzelfde, maar dan de andere kant op. :)

[Reactie gewijzigd door ApexAlpha op 22 juli 2024 18:49]

Jerryy @ApexAlpha27 september 2022 18:24
Beetje mierenneuken, maar...
Zodra je op het maximale zit en dan +1 doet, dan gaat hij door naar het allerlaagste getal
Klopt niet helemaal. Integer overflows/underflows zijn, vooral als we het hebben over C/C++ programma's, undefined behavior. Dit betekend dat er van alles kan gebeuren, inderdaad van positief naar negatief en andersom. Maar ook time travel: https://stackoverflow.com/a/39915175 :+

[Reactie gewijzigd door Jerryy op 22 juli 2024 18:49]

kdekker @Jerryy27 september 2022 19:56
Alleen voor signed int. Niet voor unsigned. Zie ook: https://en.wikipedia.org/wiki/Integer_overflow
Jerryy @kdekker27 september 2022 20:21
Klopt! Ik dacht eerst dat unsigned ook undefined is, maar dit is gewoon netjes well defined.

[Reactie gewijzigd door Jerryy op 22 juli 2024 18:49]

Michelli @ApexAlpha27 september 2022 18:11
Als ik zo lees op de site van WhatsApp zowel integer overflow als integer underflow, dus het omgekeerde kon ook voorkomen. Belangrijkste is in ieder geval dat het kon leiden tot een remote code execution.

Het NCSC heeft zo te zien trouwens besloten om de kwetsbaarheden als medium in te schalen qua risico en schade. De kwetsbare versies zijn namelijk waarschijnlijk al een paar maanden oud.
GekkePrutser
@Michelli27 september 2022 21:34
Ja en de remote code draait natuurlijk nog wel in de sandbox van Whatsapp zelf.. Er zijn nog meer exploits nodig om de hele telefoon over te nemen.
ApexAlpha @GekkePrutser28 september 2022 09:40
Ja maar dan kun je wel WhatsApp al uitlezen, wat voor de meeste mensen zowat al hun communicatie bevat. Daarnaast heeft Whatsapp vaak standaard veel permissies om bijvoorbeeld foto's te bekijken of je locatie te peilen omdat dat ook WhatsApp functies zijn.
AuteurRobert Zomers @ApexAlpha27 september 2022 18:16
Dat moest er inderdaad staan. Ik heb de tekst aangepast.
kdekker @ApexAlpha27 september 2022 19:55
Integer underflow. Dat is nieuw voor mij. Een floating point underflow, dat ken ik wel (zie ook https://en.wikipedia.org/wiki/Arithmetic_underflow en https://en.wikipedia.org/wiki/Integer_overflow). Juist bij integers is een overflow (in C/C++) vrij nauwkeurig gespecificeerd. Je krijgt gewoon een teken wisseling. Shift left en shift right zijn allemaal defined...

Nu is een overflow (of whatever ding) dat een exceptie veroorzaakt niet handig, maar om zoiets direct uit te buiten lijkt me nog geen eenvoudige klus. Maar goed, het nieuwsartikel is er en de werkelijke impact zal waarschijnlijk veel lastiger (of nooit bekend voor de buitenwereld) te bepalen zijn.
Huugje @ApexAlpha27 september 2022 18:04
En dan geen interger, maar integer.
timvisee @ApexAlpha28 september 2022 10:55
Ik vermoed dat de 'underflow' hier ook een overflow betekent (omdat dit als wrap of wrap around ia gespecificeerd).

Een underflow komt voor als je een floating point nummer naar Infinity 'underflowed' omdat de daadwerkelijke waarde niet gerepresenteerd kan worden.
Bataafsimon @moonlander27 september 2022 18:04
Volgens whatsapp gaat het hier om een "integer overflow"
moonlander @Bataafsimon27 september 2022 18:05
Ja wellicht, maar het staat er niet. Vandaar de vraag.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq