WhatsApp: Zwei gepatchte Lücken
Meta hat zwei Sicherheitslücken in WhatsApp geschlossen und die zugehörigen Advisories erst jetzt veröffentlicht. Betroffen sind WhatsApp auf Android, iOS und Windows. Aktive Angriffe hat Meta nach eigenen Angaben nicht beobachtet, trotzdem besteht Handlungsbedarf: Wer WhatsApp nicht aktualisiert hat, ist angreifbar.
Datei-Spoofing auf Windows (CVE-2026-23863)
Die erste Schwachstelle betrifft WhatsApp für Windows in Versionen vor 2.3000.1032164386.258709. Der Fehler liegt in der Art, wie WhatsApp Dateinamen verarbeitet, die sogenannte Null-Bytes enthalten. Ein Null-Byte ist ein unsichtbares Steuerzeichen, das einen Dateinamen für die Anwendungslogik vorzeitig beendet, während das darunterliegende Betriebssystem die Datei anders liest.
In der Praxis bedeutet das: Eine ausführbare Datei kann so benannt werden, dass WhatsApp sie dem Empfänger als harmloses Dokument oder Bild anzeigt. Wer die Datei öffnet, startet stattdessen ein Programm. Für Nutzer ist der Unterschied dabei nicht erkennbar.
Dieser Angriffstyp gehört zu den klassischen Methoden im Bereich Social Engineering: Das Vertrauen in eine bekannte App und einen vertrauten Kontakt wird ausgenutzt, um den Empfänger zur Ausführung von Schadcode zu bringen. Im schlimmsten Fall führt das zu Malware-Installationen, Datenverlust oder Ransomware.
URL-Manipulation über Instagram-Reels-Vorschauen (CVE-2026-23866)
Die zweite Lücke betrifft WhatsApp auf iOS (Version 2.25.8.0 bis 2.26.15.72) und Android (Version 2.25.8.0 bis 2.26.7.10). Sie steckt in der Verarbeitung KI-generierter Rich-Response-Nachrichten, konkret bei Instagram-Reels-Vorschauen.
Durch unvollständige Prüfung der Nachrichteninhalte konnte ein Angreifer WhatsApp dazu bringen, Medieninhalte von einer beliebigen, vom Angreifer kontrollierten URL zu laden. Dabei können auch sogenannte Custom-URL-Scheme-Handler des Betriebssystems ausgelöst werden. Das bedeutet: Bestimmte Apps lassen sich öffnen oder unbeabsichtigte Aktionen auf dem Gerät auslösen, ohne dass der Nutzer aktiv etwas tut.
Eine direkte Gerätekompromittierung ist damit nicht automatisch verbunden. Die Lücke eignet sich aber als Baustein für weitergehende Angriffe, zum Beispiel für Phishing-Kampagnen, Nutzer-Tracking oder als Einstiegspunkt für komplexere Angriffsketten.
- WhatsApp für Windows: Update auf Version 2.3000.1032164386.258709 oder neuer
- WhatsApp für iOS: Update auf eine Version neuer als 2.26.15.72
- WhatsApp für Android: Update auf eine Version neuer als 2.26.7.10
- Anhänge in WhatsApp, die unerwartet oder aus unbekanntem Kontext kommen, vor dem Öffnen kritisch prüfen. Dateiendungen allein sind kein verlässliches Sicherheitsmerkmal.
- n Unternehmensumgebungen sollten IT-Teams prüfen, ob WhatsApp auf Firmengeräten und im Homeoffice auf dem aktuellen Stand ist. WhatsApp ist Teil der Angriffsfläche, auch wenn es als privater Messenger wahrgenommen wird.
