行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> Windows和Linux系统中信号消息应用程序中发现巨大漏洞

Windows和Linux系统中信号消息应用程序中发现巨大漏洞

发布时间:2018年05月13日 08:52:39    来源: A5互联

安全研究人员已经发现了Windows和Linux桌面流行的端到端加密信号通讯应用程序中的一个严重漏洞,该漏洞可能允许远程攻击者通过发送消息在收件人系统上执行恶意代码,而无需任何用户交互。

该漏洞被公布在Twitter上只有几个小时前验证的概念视频,演示了如何发送的信号桌面应用一个JavaScript有效载荷顺利地拿到了接收者的系统上执行。

虽然此漏洞的技术细节目前尚未透露,但问题似乎是Signal中的远程代码执行漏洞,或者至少与持久性跨站点脚本(XSS)非常接近,最终可能允许攻击者注入恶意代码到目标Windows和Linux系统上。

目前,我们只能确认JavaScript代码的执行情况,但我们正在跟踪一个堆腐败问题,而且它很可能比JavaScript执行可能导致本机代码执行更多的研究。

可以确认这个bug在之前并没有存在,并且最后被引入,因为开发人员忘记了为什么在那里有一个正则表达式。如果不再重复(TBD),我想建议对此评论发表评论。

目前,尚不清楚主要漏洞或其他链式错误是否仅存在于Signal的源代码中,或者还存在于广受欢迎的Electron Web应用程序框架中,即Signal桌面应用程序所基于的技术。

如果这个漏洞存在于Electron框架中,它也可能影响其他广泛使用的桌面应用程序,包括Skype,Wordpress和Slack,它们也使用相同的框架。

此外,信息社区也担心,如果这个漏洞允许远程攻击者窃取他们的秘密加密密钥,对Signal用户来说这将是最糟糕的噩梦。

好消息是Open Whisper Systems已经解决了这个问题,并在收到研究人员负责任的漏洞披露后的几个小时内立即发布Signal版本的新版本。

Signal稳定版本1.10.1和预发布版本1.11.0-beta.3中已修复触发代码执行的主要漏洞。因此,建议用户尽快更新其桌面应用程序的Signal。

在这个时候,我们不确定他们所有[连接在一起的漏洞]已经被修复了。

最新版本还修复了桌面应用程序Signal中最近披露的一个漏洞,该漏洞在macOS的通知中心的用户可读数据库中显示消失的消息,即使它们从应用程序中被删除。

一旦我们从研究人员那里获得有关该漏洞的更多细节,我们将尽快更新这篇文章。到那时,请继续关注Facebook和Twitter账户。