WhatsApp hat Sicherheitsupdates fuer iOS und macOS veroeffentlicht, die die aktiv ausgenutzte Zero‑Day‑Schwachstelle CVE-2025-55177 schliessen. Die Luecke betrifft den Mechanismus zur Synchronisierung verknuepfter Geraete und wird mit CVSS 8.0 als hochkritisch eingestuft. Laut Anbieter wurde die Anomalie in gezielten, technisch anspruchsvollen Angriffen beobachtet. Nutzerinnen und Nutzer sollten die App umgehend ueber den App Store bzw. Mac App Store aktualisieren und Auto-Updates aktivieren.
Was wurde behoben: Schwachstelle in der Synchronisierung verknuepfter Geraete
Die intern entdeckte Luecke geht auf unzureichende Autorisierung von Synchronisierungsnachrichten zwischen verknuepften Endgeraeten zurueck. Ein Angreifer konnte dadurch die Verarbeitung von Inhalten aus beliebigen URLs auf dem Zielgeraet ausloesen. Solche Umleitungen dienen haeufig als Baustein in Exploit-Ketten, um schadhaften Content nachzuladen oder Parser gezielt zu triggern. Welche Build-Staende genau betroffen sind, wurde nicht vollstaendig offengelegt; die generelle Empfehlung lautet, auf die jeweils aktuelle Version zu aktualisieren.
Moegliche Exploit-Kette mit Apple Image I/O (CVE-2025-43300)
Nach derzeitigen Hinweisen koennte CVE-2025-55177 mit der kuerzlich von Apple behobenen Schwachstelle CVE-2025-43300 im Framework Image I/O kombiniert worden sein. Image I/O ist fuer das Lesen/Schreiben zahlreicher Bildformate zustaendig. Apple bestaetigte, dass die Luecke als Zero‑Click in gezielten Angriffen missbraucht wurde; der Patch erschien Mitte August 2025. In einem typischen Ablauf erzwingt der WhatsApp‑Bug die Verarbeitung eines externen Medienobjekts, waehrend der Image‑I/O‑Fehler Codeausfuehrung beim Parsen ohne Nutzerinteraktion ermoeglicht.
Warum diese Kette besonders riskant ist
Zero‑Click‑Ketten umgehen Interaktionsbarrieren (Tippen, Oeffnen, Klicken) und nutzen stille Verarbeitungspfade wie Vorschauen und Systembibliotheken. Vergleichbare Muster waren bereits zu sehen: In der 2023 dokumentierten Kampagne BLASTPASS wurde eine Image‑I/O‑Schwachstelle (CVE-2023-41064) ausgenutzt. Dies unterstreicht die Attraktivitaet von Medienparsern fuer Angreifer mit hohem Ressourcen- und Know‑how‑Niveau. Verweise: WhatsApp Security Advisories, Apple Security Releases, Citizen Lab BLASTPASS.
Aktueller Erkenntnisstand: Benachrichtigte Betroffene und Zielprofil
Laut Amnesty International hat WhatsApp in den letzten 90 Tagen ungefaehr 200 Personen ueber moegliche Zielauswahl in einer komplexen Cyberspionage‑Kampagne informiert. Den Betroffenen wird ein Werksreset nach Datensicherung empfohlen und das fortlaufende Einspielen von OS‑ und App‑Updates. Oeffentliche Zuschreibungen zu den Taetern liegen derzeit nicht vor.
Technische Einordnung und praktische Schutzmassnahmen
Zero‑Click‑Angriffe adressieren unsichtbare Angriffsoberflaechen wie Inhalts‑Handler, Vorschaufunktionen und Systemparser. Verteidigung beruht daher auf zeitnahen Patches, der Reduktion vertrauter Geraete und einer strikten Least‑Privilege‑Praxis. Konkrete Schritte:
- Update von iOS/iPadOS/macOS und WhatsApp auf die neuesten Versionen; Auto‑Updates aktivieren.
- Verknuepfte Geraete pruefen (WhatsApp > Verknuepfte Geraete) und unbekannte Sitzungen entfernen.
- Bei Warnungen von WhatsApp oder ungewoehnlichem Verhalten: Backup erstellen, dann Werksreset und Wiederherstellung.
- Fuer Hochrisikogruppen: Lockdown Mode (iOS/macOS) erwaegen, um die Angriffsoberflaeche zu minimieren.
- Organisationen: MDM‑Pflichtupdates, Monitoring relevanter Events auf Apple‑Geraeten sowie Schulungen zur Erkennung von Kompromittierungsindikatoren.
Die Kombination aus einer App‑Schwachstelle (WhatsApp‑Synchronisierung) und einer OS‑nahen Parserluecke (Apple Image I/O) zeigt einen anhaltenden Trend: Angreifer verknuepfen Fehler auf mehreren Ebenen, um leise, schwer erkennbare Infektionen zu erreichen. Kontinuierliche Härtung, saubere Update‑Prozesse und bewusste Reduktion von Vertrauensbeziehungen sind entscheidend, um Risiken zu senken.
Jetzt handeln: Updates installieren, verknuepfte Geraete bereinigen und Sicherheitsrichtlinien pruefen. Das reduziert die Chancen erfolgreicher Zero‑Click‑Ketten signifikant und begrenzt im Ernst
