WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi nghiêm trọng trong ứng dụng nhắn tin Signal dành cho Windows và Linux
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng trong ứng dụng nhắn tin Signal được mã hóa end-to-end dành cho các máy tính để bàn Windows và Linux. Kẻ tấn công có thể thực thi từ xa mã độc trên hệ thống người nhận bằng cách gửi đi một tin nhắn mà không yêu cầu bất kỳ tương tác của người dùng.
Được phát hiện bởi Alfredo Ortega, một nhà tư vấn an ninh phần mềm từ Argentina, lỗ hổng đã được đăng lên Twitter cùng video PoC, mô tả cách một javascript gửi qua Signal cho desktop được thực thi thành công trên hệ thống người nhận.
Mặc dù các chi tiết kỹ thuật của lỗ hổng này chưa được tiết lộ, đây dường như là một lỗ hổng thực thi mã từ xa trong Signal hoặc ít nhất một hình thức nào đó gần với tấn công cross-site scripting (XSS) vào các hệ thống Windows và Linux mục tiêu.
"Hiện tại, chúng tôi chỉ có thể xác nhận việc thực thi mã javascript. Tuy nhiên, chúng tôi đang theo dõi vấn đề lỗi heap và rất có khả năng thực thi javascript có thể dẫn đến thực thi mã gốc", Ortega trao đổi với The Hacker News.
Ortega cũng xác nhận rằng việc khai thác đòi hỏi phải kết hợp với một số lỗ hổng được tìm thấy bởi hai nhà nghiên cứu an ninh khác từ Argentina là Ivan và Juliano.
Tại thời điểm này, vẫn chưa rõ các lỗ hổng chỉ nằm trong mã nguồn của Signal hay còn tồn tại trên khung ứng dụng web Electron, công nghệ mà các ứng dụng Signal cho desktop dựa vào.
Nếu lỗ hổng nằm trong khung Electron, nó cũng có thể tác động đến các ứng dụng cho máy tính để bàn được sử dụng rộng rãi khác, bao gồm Skype, Wordpress và Slack.
Hơn nữa, cộng đồng an ninh mạng cũng lo lắng rằng nếu lỗ hổng này cho phép kẻ tấn công từ xa đánh cắp khóa mã hóa bí mật của họ, đó sẽ là cơn ác mộng tồi tệ nhất cho người dùng Signal.
Tin tốt lành là Open Whisper System, tổ chức phát triển Signal, đã giải quyết vấn đề này và ngay lập tức phát hành các phiên bản Signal mới chỉ trong vòng vài giờ sau khi nhận được thông báo của nhà nghiên cứu.
Lỗ hổng chính gây ra việc thực thi mã đã được vá trong phiên bản Signal chính thức 1.10.1 và 1.11.0-beta.3. Vì vậy, người dùng nên cập nhật Signal dành cho các ứng dụng máy tính để bàn càng sớm càng tốt.
Được phát hiện bởi Alfredo Ortega, một nhà tư vấn an ninh phần mềm từ Argentina, lỗ hổng đã được đăng lên Twitter cùng video PoC, mô tả cách một javascript gửi qua Signal cho desktop được thực thi thành công trên hệ thống người nhận.
Mặc dù các chi tiết kỹ thuật của lỗ hổng này chưa được tiết lộ, đây dường như là một lỗ hổng thực thi mã từ xa trong Signal hoặc ít nhất một hình thức nào đó gần với tấn công cross-site scripting (XSS) vào các hệ thống Windows và Linux mục tiêu.
"Hiện tại, chúng tôi chỉ có thể xác nhận việc thực thi mã javascript. Tuy nhiên, chúng tôi đang theo dõi vấn đề lỗi heap và rất có khả năng thực thi javascript có thể dẫn đến thực thi mã gốc", Ortega trao đổi với The Hacker News.
Ortega cũng xác nhận rằng việc khai thác đòi hỏi phải kết hợp với một số lỗ hổng được tìm thấy bởi hai nhà nghiên cứu an ninh khác từ Argentina là Ivan và Juliano.
Tại thời điểm này, vẫn chưa rõ các lỗ hổng chỉ nằm trong mã nguồn của Signal hay còn tồn tại trên khung ứng dụng web Electron, công nghệ mà các ứng dụng Signal cho desktop dựa vào.
Nếu lỗ hổng nằm trong khung Electron, nó cũng có thể tác động đến các ứng dụng cho máy tính để bàn được sử dụng rộng rãi khác, bao gồm Skype, Wordpress và Slack.
Hơn nữa, cộng đồng an ninh mạng cũng lo lắng rằng nếu lỗ hổng này cho phép kẻ tấn công từ xa đánh cắp khóa mã hóa bí mật của họ, đó sẽ là cơn ác mộng tồi tệ nhất cho người dùng Signal.
Tin tốt lành là Open Whisper System, tổ chức phát triển Signal, đã giải quyết vấn đề này và ngay lập tức phát hành các phiên bản Signal mới chỉ trong vòng vài giờ sau khi nhận được thông báo của nhà nghiên cứu.
Lỗ hổng chính gây ra việc thực thi mã đã được vá trong phiên bản Signal chính thức 1.10.1 và 1.11.0-beta.3. Vì vậy, người dùng nên cập nhật Signal dành cho các ứng dụng máy tính để bàn càng sớm càng tốt.
Theo The Hacker News