Исследователь безопасности Альфредо Ортега (Alfredo Ortega) обнаружил критическую уязвимость в популярном приложении для обмена зашифрованными сообщениями Signal для ОС Windows и Linux. Проблема позволяет удаленному злоумышленнику выполнить вредоносный код в системе получателя, просто отправив специально сформированное сообщение.
Как продемонстрировал исследователь в своем видео, код Javascript, отправленный через приложение Signal, может быть успешно выполнен в системе получателя, без какого-либо взаимодействия с ним.
В настоящее время технические данные об уязвимости не обнародованы, однако известно, что проблема, судя по всему, представляет собой уязвимость, дающую возможность выполнить произвольный код, или по меньшей мере осуществить XSS-атаку, потенциально позволяя злоумышленникам внедрить вредоносный код на целевых системах на базе Windows и Linux.
Как отметил исследователь, для успешной эксплуатации данной проблемы необходимо предварительно использовать ряд других уязвимостей. В настоящее время неясно, содержатся ли данные уязвимости только в исходном коде Signal, или также затрагивают популярную инфраструктуру web-приложений Electron, на которой основана данная программа. В случае, если уязвимость находится в структуре Electron, она может также повлиять на другие популярные приложения, такие как Skype, WordPress и Slack, которые также используют данную инфраструктуру.
Помимо этого, сообщество ИБ-экспертов обеспокоено потенциальной возможностью хищения секретных ключей шифрования Signal с помощью данной уязвимости.
Разработчик приложения, компания Open Whisper Systems, выпустила содержащие исправления версии Signal в течение нескольких часов после того, как исследователь уведомил ее о своей находке. Уязвимость была исправлена ​​в версии Signal 1.10.1 и бета-версии 1.11.0-beta.3. Пользователям рекомендуется как можно скорее обновить приложение.
Видео с демонстрацией атаки:

Источник: securitylab.ru