Meta warnt vor kritischer Sicherheitslücke in Whatsapp für Windows

Meta empfiehlt Whatsapp-Usern, die den Messenger auf einem Windows-Gerät nutzen, eine schnellstmögliche Aktualisierung auf die Version 2.2450.6. Wie "Bleepingcomputer" berichtet, ist der Grund dafür eine Sicherheitslücke mit der Bezeichnung CVE-2025-30401, die in allen älteren Whatsapp-Versionen vorhanden ist. Durch sie können Cyberkriminelle Schadsoftware mittels manipulierter Dateien auf den betroffenen Geräten ausführen. Die neue Version 2.2450.6 behebe das Problem, heisst es bei Meta.

Bei der Sicherheitslücke handelt es sich demnach um ein Spoofing-Problem - darunter versteht man verschiedene Methoden zur Täuschung von Authentifizierungssystemen. In diesem Fall zeigte Whatsapp Anhänge entsprechend ihrem MIME-Typ an, wählte aber den Handler zum Öffnen von Dateien basierend auf der Dateinamenserweiterung des Anhangs aus. Eine böswillig erstellte Diskrepanz hätte dazu führen können, dass der Empfänger beim Öffnen des Anhangs in Whatsapp versehentlich willkürlichen Code ausführt, statt den Anhang anzuzeigen, wie es im Bericht weiter heisst.

Ein externer Forscher habe die Sicherheitslücke entdeckt und über ein Bug-Bounty-Programm gemeldet. Meta macht keine Angaben darüber, ob die Lücke bereits ausgenutzt wurde. 

Solche Schwachstellen, die das Einschleusen von Schadsoftware ermöglichen, kommen bei Whatsapp nicht zum ersten Mal vor. Ein ähnlicher Vorfall fand gemäss "Bleepingcomputer" bereits im Juli 2024 statt. Damals ermöglichte eine Sicherheitslücke die ungewollte Ausführung von Python- und PHP-Anhängen, wenn Empfänger diese auf kompatiblen Windows-Geräten geöffnet hatten. Im Januar musste Whatsapp ebenfalls eine Zero-Day-Schwachstelle beheben, durch die man heimlich Spyware, insbesondere die Typen Paragon und Pegasus, auf Geräten installieren konnte.