当前位置:安全资讯 >> 全文

无需用户交互,Signal 缺陷即可触发代码执行

发布时间:2018-5-16 18:29 标签: 通讯应用
分享到 0

上周末,通讯应用 Signal 发布桌面版本,修复了一个无需用户交互即可导致远程代码执行的严重漏洞。

多名研究员注意到,跨站点脚本 (XSS) 漏洞在 Signal 桌面应用中遭触发后,正在查看一个不相关的 XSS 漏洞。

白帽黑客发现只需向目标用户发送一条包含具体 HTML 元素的特殊构造的信息即可执行任意代码。

研究人员在安全公告中表示,“Signal 桌面软件未能清洁具体的以 html 编码的 HTML 标签,这些标签可用于将 HTML 代码注入远程聊天窗口中。具体而言, <img> <iframe> 标签可用于包含远程或本地资源。”

研究人员创建了可用于导致 Signal 崩溃的 PoC payload,从目标设备的 /etc/ passwd 文件中获取数据、执行远程 JavaScript 文件、在嵌入式框架中展示消息、播放音频和视频文件、展示钓鱼页面并渗透会话。

发现这个漏洞的其中一名研究员 Ivan Ariel Barrera Oro 在博客文章中指出,“关键的问题是,它并不要求受害者交互,只需受害者位于会话中即可。任何人都能在 Signal 中触发会话,因此攻击者只需将特殊构造的 URL 发送给受害者即可,而无需进一步行动。”

这个漏洞影响 WindowsLinux 甚至是 macOS 上的版本1.7.11.8.01.9.0 以及1.10.0Signal 开发人员在几小时内推出1.10.1 版本,修复了这个漏洞问题。

基于对源代码的分析,研究人员认为该缺陷此前曾被修复但修复方案遭删除。或许是遭不慎删除的。日志更改出现在410日。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/signal-flaw-allowed-code-execution-no-user-interaction
参与讨论,请先 登录 | 注册

用户评论