Slo-Tech - V namiznem odjemalcu za aplikacijo Signal, ki načeloma omogoča varno hipno komunikacijo, so odkrili dve zelo resni ranljivosti, zaradi česar morajo vsi uporabniki posodobiti svojo nameščeno verzijo. Kdor uporablja Signal, ki sicer velja za zelo varno aplikacijo, saj ga je uporabljal tudi Edward Snowden, le na mobilnih naprav, z ranljivostjo nima opraviti nič. Drugačna pa je situacija na namiznih računalnikih.
Tu so snovalci Signala aplikacijo zgradili na platformi Electron, kar je sicer dobrodošlo z vidika hitrosti razvoja, saj pod eno streho združuje spletni strežnik, javascript in brskalnik. Manj zaželeno pa je to z varnostnega vidika, saj je v njej resna luknja. V resnici kar dve, saj so minuli teden najprej odkrili prvo luknjo zaradi vrivanja vode (XSS), le malo kasneje pa še drugo.
Če napadalec žrtvi pošlje primerno oblikovano sporočilo s HTML-kodo in žrtev nanj odgovori, se koda izvede. V njej pa je lahko kaj zločestega. Težava je v tem, da Signal vsebine sporočil ne počisti ustrezno. Luknja je v funkciji, ki obravnava povezave v sporočilih, kar omogoča vrivanje HTML/JavaScripta z elementi iFrame, image, video in audio. Raziskovalci so pokazali, da je mogoče pripraviti škodljivo kodo, ki ukrade zgodovino pogovorov ali gesla za Windows. Zanimivo je, da so prejšnje različice imele mehanizem za preverjanje URL-naslovov (funkcijo regex), a je iz novega Signala 10 nekako izpadel. Najnovejša inačica ima varnostni ranljivosti že zakrpani.
Novice » Varnost » Osnovnošolska luknja v namiznem odjemalcu za Signal
techfreak :) ::
Electron sicer podpira webview tag, ki uporablja locen proces za renderiranje, tako da ni mogoce priti do spremenljivk aplikacije, ter do samega node.js APIja. Prav tako ima opcijo izklopa javascripta. Me prav zanima kaksen je bil razlog, da niso tega uporabili.
srus ::
techfreak :) je izjavil:
Electron sicer podpira webview tag, ki uporablja locen proces za renderiranje, tako da ni mogoce priti do spremenljivk aplikacije, ter do samega node.js APIja. Prav tako ima opcijo izklopa javascripta. Me prav zanima kaksen je bil razlog, da niso tega uporabili.
Bug so rešili že pred časom, pa so pozabili na patch pri reševanju novih bugov.
poweroff ::
...ali pa so pozabili vklopiti regex preverjanje, ker je bila nekje na radarju priročna tarča...
sudo poweroff
Spura ::
A lahko folk neha uporabljat javascript kjer v to nisi prisiljen? Golazen javascriptovska širi svoj AIDS iz browserja drugam.
MrStein ::
saj pod eno streho združuje spletni strežnik, javascript in brskalnik.
To je dobesedno "XSS&co included".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | FBI raje odstopil od pregona pedofila kakor razkril ranljivost ToraOddelek: Novice / Tožbe | 14662 (12107) | WildChild |
» | Pol milijona pohekanih spletnih strežnikov - med njimi tudi slovenski!Oddelek: Novice / Varnost | 5961 (3892) | poweroff |
» | Linux/Apache kot vektor napada...Oddelek: Informacijska varnost | 2291 (1681) | Atos |
» | Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScriptaOddelek: Novice / Varnost | 5624 (4333) | MrStein |
» | Raziskava o ranljivosti spletnih strani z SQL bazami podatkovOddelek: Novice / Varnost | 4923 (4259) | sverde21 |