V aplikacích Signal pro Linux a Windows bylo objeveno několik závažných bezpečnostních chyb, které vedou ke vzdálenému spuštění kódu na uživatelově počítači. Stačí k tomu jediné – poslat správně sestavenou zprávu. Argentinský vývojář Alfredo Ortega na problémy upozornil na Twitteru. Na videu také problém demonstroval:
Technické detaily chyby ještě nebyly zveřejněny, ale zřejmě jde o něco velmi blízkého k perzistentnímu cross site scriptingu (XSS). Ortega tvrdí, že kromě možnosti vzdáleně spustit u uživatele JavaScript byla objevena také chyba na haldě, což pravděpodobně nakonec povede k úspěšnému spuštění nativního kódu na cílovém stroji nebo dokonce k ukradení privátních klíčů.
Zatím není jasné, zda se chyba týká jen Signalu nebo aplikačního frameworku Electron, který právě zmíněná aplikace využívá. Pokud by byla chyba ve frameworku, postihovala by celou řadu dalších programů, které jsou v něm napsány. Dobrou zprávou je, že Signal už vyšel v nové verzi, která opravuje primární problém se vzdáleným spuštěním JavaScriptu. Určitě tedy aktualizujte na verzi 1.10.1 nebo vývojovou 1.11.0-beta.3.