События

В приложении Signal для Windows и Linux обнаружена критическая уязвимость

В приложении Signal для Windows и Linux обнаружена критическая уязвимость

Исследователь безопасности Альфредо Ортега (Alfredo Ortega) обнаружил критическую уязвимость в популярном приложении для обмена зашифрованными сообщениями Signal для ОС Windows и Linux. Проблема позволяет удаленному злоумышленнику выполнить вредоносный код в системе получателя, просто отправив специально сформированное сообщение.

Как продемонстрировал исследователь в своем видео, код Javascript, отправленный через приложение Signal, может быть успешно выполнен в системе получателя, без какого-либо взаимодействия с ним.

В настоящее время технические данные об уязвимости не обнародованы, однако известно, что проблема, судя по всему, представляет собой уязвимость, дающую возможность выполнить произвольный код, или по меньшей мере осуществить XSS-атаку, потенциально позволяя злоумышленникам внедрить вредоносный код на целевых системах на базе Windows и Linux.

Как отметил исследователь, для успешной эксплуатации данной проблемы необходимо предварительно использовать ряд других уязвимостей. В настоящее время неясно, содержатся ли данные уязвимости только в исходном коде Signal, или также затрагивают популярную инфраструктуру web-приложений Electron, на которой основана данная программа. В случае, если уязвимость находится в структуре Electron, она может также повлиять на другие популярные приложения, такие как Skype, WordPress и Slack, которые также используют данную инфраструктуру.

Помимо этого, сообщество ИБ-экспертов обеспокоено потенциальной возможностью хищения секретных ключей шифрования Signal с помощью данной уязвимости.

Разработчик приложения, компания Open Whisper Systems, выпустила содержащие исправления версии Signal в течение нескольких часов после того, как исследователь уведомил ее о своей находке. Уязвимость была исправлена ​​в версии Signal 1.10.1 и бета-версии 1.11.0-beta.3. Пользователям рекомендуется как можно скорее обновить приложение.

Видео с демонстрацией атаки:

Источник

Автор: Сергей Куприянов
14.05.2018 (08:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.