События

Опубликованы подробности об опасной уязвимости в мессенджере Signal

Ранее Securitylab сообщал об обнаружении опасной уязвимости в популярном приложении для обмена зашифрованными сообщениями Signal для ОС Windows и Linux. Проблема может быть проэксплуатирована удаленным злоумышленником для выполнения вредоносного кода путем отправки специально сформированной ссылки, не требуя какого-либо взаимодействия с пользователем.

Как сообщили исследователи, уязвимость была обнаружена случайно, когда эксперты Иван Ариэль Баррера Оро (Iván Ariel Barrera Oro), Альфредо Ортега (Alfredo Ortega) и Джулиано Риццо (Juliano Rizzo) переписывались в Signal, и один из них поделился ссылкой уязвимого сайта с полезной нагрузкой XSS в URL. Неожиданно полезная нагрузка XSS была выполнена в приложении Signal для компьютера.

Проанализировав проблему и протестировав несколько видов полезных нагрузок XSS, исследователи обнаружили, что уязвимость находится в функции, отвечающей за обработку общих ссылок. Проблема позволяет злоумышленникам внедрять вредоносный код HTML/JavaScript в теги iFrame, изображения, видео и аудио.

Проэксплуатировав данную уязвимость, злоумышленники могут даже внедрить форму входа в окно чата получателя, обманом заставив его ввести конфиденциальную информацию с помощью методов социальной инженерии.

Ранее предполагалось, что недостаток сигнала может позволить злоумышленникам выполнять системные команды или получать конфиденциальную информацию, такую ​​как ключи дешифрования, однако данные догадки не подтвердились.

Уязвимость была немедленно исправлена ​​разработчиками Signal вскоре после того, как исследователи опубликовали видеоролик с демонстрацией атаки.

Исследователи также обнаружили, что исправление для этой уязвимости существовало в предыдущих версиях приложения, однако оно каким-то образом было удалено или пропущено в версии Signal, выпущенной 10 апреля текущего года.

Источник

Автор: Сергей Куприянов
15.05.2018 (10:38)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.