Bogue grave découvert dans l’application de messagerie de signal pour Windows et Linux

Les chercheurs en sécurité ont découvert une grave vulnérabilité dans l’application populaire de messagerie cryptée de bout en bout pour les postes de travail Windows et Linux qui pourrait permettre à des attaquants distants d’exécuter du code malveillant sur le système destinataire simplement en envoyant un message sans aucune intervention de l’utilisateur.

Découvert par Alfredo Ortega, un consultant en sécurité informatique d’Argentine, la vulnérabilité a été annoncée sur Twitter il y a quelques heures avec une vidéo de démonstration démontrant comment une charge javascript envoyée sur Signal pour une application de bureau a été exécutée sur le système du destinataire .

Bien que les détails techniques de la vulnérabilité n’aient pas encore été révélés, le problème semble être une vulnérabilité d’exécution de code à distance dans Signal ou au moins quelque chose de très proche du cross-site scripting (XSS) qui pourrait éventuellement permettre aux pirates d’injecter du code malveillant sur des systèmes Windows et Linux ciblés.

« Pour le moment, nous ne pouvons que confirmer l’exécution du code javascript, mais nous suivons un problème de corruption de tas, et il est très probable que l’exécution de javascript puisse conduire à l’exécution de code natif avec des recherches supplémentaires. Ortega a déclaré à The Hacker News.

Ortega nous confirme également que l’exploitation de ce problème nécessite d’enchaîner quelques vulnérabilités découvertes par deux autres chercheurs en sécurité d’Argentine, Ivan et Juliano.

"Je peux confirmer que ce bug n’existait pas avant et a été introduit pour la dernière fois parce que les devs ont oublié pourquoi il y avait une regex pour commencer.Je voudrais recommander un commentaire à ce commentaire s’il n’est pas répété (TBD)" Ivan a dit .

À l’heure actuelle, il n’est pas clair si la vulnérabilité principale ou d’autres bogues enchaînés résident uniquement dans le code source de Signal ou dans le cadre populaire de l’application Web Electron , la technologie sur laquelle reposent les applications de bureau Signal.

Si la faille réside dans le framework Electron, elle peut également affecter d’autres applications de bureau largement utilisées, notamment Skype, Wordpress et Slack, qui utilisent également le même framework.

De plus, la communauté infosec s’inquiète également du fait que si cette faille permettait à des attaquants distants de voler leurs clés de cryptage secrètes, ce serait le pire cauchemar pour les utilisateurs de Signal.

La bonne nouvelle est que Open Whisper Systems a déjà abordé le problème et a immédiatement publié de nouvelles versions de l’application Signal dans les quelques heures qui ont suivi la divulgation de la vulnérabilité par le chercheur.

La vulnérabilité principale qui déclenche l’exécution du code a été corrigée dans Signal stable version 1.10.1 et dans la version 1.11.0-beta.3 . Ainsi, les utilisateurs sont invités à mettre à jour leur Signal pour les applications de bureau dès que possible.

"En ce moment, nous ne sommes pas sûrs qu’ils aient tous été corrigés", a déclaré Ortega

La dernière version a également corrigé une vulnérabilité récemment révélée dans Signal pour les applications de bureau qui exposait des messages disparaissants dans une base de données lisible par l’utilisateur du Centre de notifications de macOS, même si elles sont supprimées de l’application.

Nous mettrons à jour cet article dès que nous aurons plus de détails sur la vulnérabilité du chercheur. Jusque-là, restez à l’écoute des comptes Facebook et Twitter .

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image