Hlavní navigace

Několik chyb bylo objeveno v aplikacích Signal pro Linux a Windows

Sdílet

Petr Krčmář
Signal

V aplikacích Signal pro Linux a Windows bylo objeveno několik závažných bezpečnostních chyb, které vedou ke vzdálenému spuštění kódu na uživatelově počítači. Stačí k tomu jediné – poslat správně sestavenou zprávu. Argentinský vývojář Alfredo Ortega na problémy upozornil na Twitteru. Na videu také problém demonstroval:

Technické detaily chyby ještě nebyly zveřejněny, ale zřejmě jde o něco velmi blízkého k perzistentnímu cross site scriptingu (XSS). Ortega tvrdí, že kromě možnosti vzdáleně spustit u uživatele JavaScript byla objevena také chyba na haldě, což pravděpodobně nakonec povede k úspěšnému spuštění nativního kódu na cílovém stroji nebo dokonce k ukradení privátních klíčů.

Zatím není jasné, zda se chyba týká jen Signalu nebo aplikačního frameworku Electron, který právě zmíněná aplikace využívá. Pokud by byla chyba ve frameworku, postihovala by celou řadu dalších programů, které jsou v něm napsány. Dobrou zprávou je, že Signal už vyšel v nové verzi, která opravuje primární problém se vzdáleným spuštěním JavaScriptu. Určitě tedy aktualizujte na verzi 1.10.1 nebo vývojovou 1.11.0-beta.3.

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?