Исследователи обнаружили опасную уязвимость в десктопной версии мессенджера Signal, позволяющую читать чаты. Разработчик программы уже исправил ошибку.
Об этом сообщается на сайте Ивана Ариэля Баррера Оро (Iván Ariel Barrera Oro), одного из экспертов, обнаруживших проблему.Аргентинские специалисты обнаружили уязвимость в Signal, разбираясь с другой проблемой. Эксперты обменивались ссылками на сайты с внедренными фрагментами стороннего кода, когда обнаружили, что их полезная нагрузка автоматически воспроизводится в окне мессенджера.
Remote zero-click JavaScript code execution on signal desktop message app. Thanks @HacKanCuBa and @julianor pic.twitter.com/YgT8akGfBI
— Alfredo Ortega (@ortegaalfredo) 11 травня 2018 р.
Под угрозой оказался Signal для Windows, Linux и macOS. Исследователи немедленно сообщили об ошибке разработчикам, и те выпустили пропатченный вариант программы.
Через несколько дней те же эксперты выяснили, что новая версия приложения по-прежнему уязвима. Эксплуатация ошибки стала чуть сложнее — теперь злоумышленник должен отправить два сообщения: одно — содержащее вредоносный код, и другое — включающее его как цитату.
Разница между двумя уязвимостями заключается в том, что первая из них связана с функцией обработки ссылок, которыми пользователи обмениваются в чате, а вторая – с функцией обработки пересылаемых сообщений (когда в качестве ответа пользователь пересылает собеседнику свое же предыдущее сообщение).
Специалисты снова сообщили об ошибке разработчикам. Для того чтобы исправить баг, разработчикам понадобилось всего несколько часов, после чего Signal получил окончательно исправленную версию 1.11.0. Пользователям десктопной версии приложения настоятельно рекомендуется как можно скорее установить обновления.
10 апреля эксперты компании, которая специализируется на кибербезопасности, Menlo Security зафиксировали волну хакерских атак на финансовые и IT-организации через уязвимость Microsoft Word.
3 апреля эксперты корпорации Trustlook Labs, специализирующейся на информационной безопасности, обнаружили новый вирус, работающий на платформе Android.