Lek in WhatsApp voor Windows kan leiden tot uitvoeren willekeurige code

WhatsApp voor Windows heeft tot versie 2.2450.6 een lek dat kan leiden tot het uitvoeren van willekeurige code. Dat had te maken met het feit dat mediapreviews gebaseerd werden op het MIME-type, terwijl de app code uitvoert op basis van de extensie van het bestand.

Kwaadwillenden kunnen die mismatch gebruiken om bestanden te laten openen en code uit te voeren op basis van de extensie, terwijl gebruikers hadden gedacht dat ze bijvoorbeeld een plaatje of een video gingen openen, meldt WhatsApp. Het lek is gemeld als CVE-2025-30401.

De eerste versie die het lek niet heeft kwam uit in januari van dit jaar, zo blijkt uit de versiehistorie. Dat is 2.2450.6 en inmiddels zit de app vier versies later op 2.2509.4.0. Het is onbekend of en op welke schaal criminelen misbruik hebben kunnen maken van het lek.

WhatsApp Desktop voor Windows, aug 2022 — WhatsApp Desktop voor Windows

Reacties (20)

Holmes 8 april 2025 20:16

Ik gebruik zakelijk (client) whatsapp op een Windows machine. Maar deze heeft verder geen admin rechten of iets dergelijks. Zal dit zorgen dat de Lek dan niet misbruikt kan worden?

Commendatore

@Holmes • 8 april 2025 20:45

Je moet echt meerdere versies achterlopen om dit lek nog in de applicatie te hebben zitten.

Die_ene_gast @Holmes • 9 april 2025 10:21

Je hebt dan nog wat andere exploits nodig, zoals privilege escalation. Is wel leuk om te zien hoe men via een teams bericht mensen hun PC konden overnemen:

YouTube: How Microsoft Accidentally Backdoored 270 MILLION Users

Best wel cool.

Dus je kan je inderdaad afvragen, moet je niet je netwerken scheiden, dus communicatie en data? Dat kan lastig zijn.

djexplo 8 april 2025 17:19

Wel knullig dat dit opduikt, Mozilla MIME type guide geeft al een waarschuwing:

MIME types are not the only way to convey document type information:
Filename suffixes are sometimes used, especially on Microsoft Windows. Not all operating systems consider these suffixes meaningful (such as Linux and macOS), and there is no guarantee they are correct.

Misbruik is dus simpel weg een HTTP bericht met:

Content-Disposition: form-data; name="foto"; filename="virus.exe"
Content-Type: image/jpeg
(data)

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@djexplo • 8 april 2025 18:01

Ja en nee. Je kunt niet zomaar WhatsApp web een request uit laten voeren. Facebook is ook niet gisteren geboren en doet al wat checks, iemand heeft alleen een bypass gevonden voor de bestaande verificatie.

Het principe is inderdaad wel heel simpel. Aan de andere kant klopt de extensie van veel afbeeldingen ook niet, dus kun je ook niet zonder mime type werken.

Ik ben wel benieuwd of de downloads van WhatsApp de mark of the web krijgen, zelfs als je een download aanklikt zou je op zijn minst een waarschuwing moeten krijgen.

Hobbit13 8 april 2025 17:25

Zat dit probleem ook in web.whatsappcom op Windows (in Edge of Chrome) of alleen in de Windows client?

(waarschijnlijk niet, ik lees dat sinds Aug 2022 Whatsapp een native Windows App heeft, daarvoor wat het een wrapper om de website. Die update had ik gemist.)

wildhagen

Beveiliging en antivirus
Bugs
Beveiliging
Microsoft Windows
Microsoft

@Hobbit13 • 8 april 2025 17:34

Zat dit probleem ook in web.whatsappcom op Windows (in Edge of Chrome) of alleen in de Windows client?

Zover bekend zit het lek ALLEEN in de app voor Windows, en dus niet in de webclient. En dus ook niet meer in de meer recentere versies van de app, die ook al gefixed zijn.

wildpicture 8 april 2025 17:26

inmiddels zit de app vier versies later op 2.2509.4.0.

Net even gekeken. Bij mij staat versie 2.2513.4.0

CPV @wildpicture • 8 april 2025 19:35

Ik ook.

ronald136813 @wildpicture • 8 april 2025 19:49

same here

Massiefje @wildpicture • 9 april 2025 09:18

Hier ook ja!

RobWu @wildpicture • 9 april 2025 10:34

MS Store gecheckt, en de update naar versie 2.2513.4.0 stond al klaar. Had al versie 2.2509.4.0 draaien.
Als je ver achterloopt qua versie, gaat er in de back-end voor je Store apps iets mis.
En er is er volgens mij geen traditionele desktop app meer voor WA?

Bryan_0182 8 april 2025 21:21

Erg schadelijk dat dit nu zo naar voren komt, je mag toch wel een beetje verwachten dat zo'n app op Windows niet enorme fouten bevat die deze risico's kunnen hebben.

Prince 8 april 2025 22:26

Dit is toch geen lek? Het is een vulnerability en eigenlijk een bug (of heel crappy design)
Maar er wordt niets gelekt en ook geen gebruik gemaakt van een memory leak oid.

MMaster23 9 april 2025 02:46

Precies de reden waarom ik niet de WhatsApp client voor windows installeer. De web versie werkt prima voor mij en stuk veiliger voor mijn gevoel. Probeer sowieso een beetje te "de-appen", waar we vroeger deden zuchten over web apps, vind ik ze nu maar al te handig.

Minder privacy zorgen, vertrouwen in de browser sandbox en geen batterij problemen.

Marctraider 9 april 2025 12:18

Waarom zou je ooit de app in windows willen?

DigitalExorcist @Marctraider • 9 april 2025 16:13

Scheelt een hoop gedoe met wisselen tussen je telefoon en PC. Ik vind het ideaal om met toetsenbord te kunnen typen en niet steeds van keyboard naar foon te hoeven schakelen.

Niet dat ik vaak Whatsapp gebruik. Eéns per maand misschien. Maar Signal heeft hetzelfde en daar gebruik ik het vaak.

Marctraider @DigitalExorcist • 10 april 2025 08:00

Dit Kan toch gewoon in een browser?

DigitalExorcist @Marctraider • 10 april 2025 08:06

Dat is echt mega irritant... omdat ik per dag al 20 tabbladen open heb staan.

Op dit item kan niet meer gereageerd worden.

Lek in WhatsApp voor Windows kan leiden tot uitvoeren willekeurige code

Lees meer

Reacties (20)

Sorteer op:

Weergave: