Hlavní navigace

Několik chyb bylo objeveno v aplikacích Signal pro Linux a Windows

14. 5. 2018

Sdílet

Signal Autor: Signal

V aplikacích Signal pro Linux a Windows bylo objeveno několik závažných bezpečnostních chyb, které vedou ke vzdálenému spuštění kódu na uživatelově počítači. Stačí k tomu jediné – poslat správně sestavenou zprávu. Argentinský vývojář Alfredo Ortega na problémy upozornil na Twitteru. Na videu také problém demonstroval:

Technické detaily chyby ještě nebyly zveřejněny, ale zřejmě jde o něco velmi blízkého k perzistentnímu cross site scriptingu (XSS). Ortega tvrdí, že kromě možnosti vzdáleně spustit u uživatele JavaScript byla objevena také chyba na haldě, což pravděpodobně nakonec povede k úspěšnému spuštění nativního kódu na cílovém stroji nebo dokonce k ukradení privátních klíčů.

Zatím není jasné, zda se chyba týká jen Signalu nebo aplikačního frameworku Electron, který právě zmíněná aplikace využívá. Pokud by byla chyba ve frameworku, postihovala by celou řadu dalších programů, které jsou v něm napsány. Dobrou zprávou je, že Signal už vyšel v nové verzi, která opravuje primární problém se vzdáleným spuštěním JavaScriptu. Určitě tedy aktualizujte na verzi 1.10.1 nebo vývojovou 1.11.0-beta.3.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.