События

Новая уязвимость в Signal позволяет похищать переписку в открытом виде

Новая уязвимость в Signal позволяет похищать переписку в открытом виде

Второй раз за последние несколько дней в популярном защищенном мессенджере Signal была обнаружена уязвимость, позволяющая злоумышленникам внедрять код.

Новая уязвимость (CVE-2018-11101) была обнаружена той же командой исследователей, что и предыдущая (CVE-2018-10994), и является не менее опасной. С ее помощью удаленный атакующий может внедрить вредоносный код в используемое жертвой десктопное приложение Signal, лишь отправив сообщение, при этом какое-либо участие пользователя не требуется.

Единственная разница между двумя уязвимостями заключается в том, что первая из них связана с функцией обработки ссылок, которыми пользователи обмениваются в чате, а вторая – с функцией обработки пересылаемых сообщений (когда в качестве ответа пользователь пересылает собеседнику свое же предыдущее сообщение).

Для эксплуатации новой уязвимости злоумышленнику достаточно лишь отправить жертве в сообщении HTML- или javascript-код, а затем переслать его с произвольным текстом. Когда пользователь уязвимой версии Signal получит пересланное сообщение, начнется автоматическое выполнение кода без какого-либо его участия.

Исследователи разработали PoC-эксплоит , позволивший им путем отправки сообщения удаленно похитить все беседы жертвы в Signal в незашифрованном виде. Приложение использует так называемое сквозное шифрование, однако из-за уязвимости оно становится полностью бесполезным, так как доступ к перепискам пользователей может получить третья сторона.

Уязвимость также позволяет похищать пароли Windows. С помощью HTML iFrame злоумышленник может добавить в сообщение файлы с удаленного общего ресурса SMB и похитить хешированные учетные данные Windows.

Уязвимость была исправлена разработчиками Signal до публикации отчета исследователей. Пользователям десктопной версии приложения настоятельно рекомендуется как можно скорее установить обновления.

Источник

Автор: Сергей Куприянов
17.05.2018 (08:06)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.