黑基网 首页 资讯 安全圈 查看内容

黑客公布Signal通讯软件中的代码注入攻击

2018-5-16 09:39| 投稿: lofor |来自: 互联网

摘要: 继eFail攻击细节泄露之后,加密通讯软件Signal的代码注入漏洞也被公开。Signal已经修补了Windows和Linux程序,来自阿根廷的白帽黑客团队发现了其中的代码注入漏洞。远程攻击者可能利用此漏洞,通过对收件人运行的Sig ...

继eFail攻击细节泄露之后,加密通讯软件Signal的代码注入漏洞也被公开。

Signal已经修补了Windows和Linux程序,来自阿根廷的白帽黑客团队发现了其中的代码注入漏洞。

远程攻击者可能利用此漏洞,通过对收件人运行的Signal桌面应用程序注入恶意payload,攻击者只需要它们发送特制链接,不需要任何用户交互。

今天发布的博客文章称,这个漏洞是偶然发现的,研究人员IvánAriel Barrera Oro,Alfredo Ortega和Juliano Rizzo当时正在Signal上聊天,其中一人在URL中分享了一个XSS payload链接。出人意料的是,这个XSS被成功执行。

XSS也称为跨站点脚本,是一种常见的攻击方式,攻击者可以将恶意代码注入到存在漏洞的Web应用程序。

经过大量测试研究人员发现,该漏洞存在于负责处理共享链接的功能中,攻击者可以通过iFrame,图像,视频和音频标签插入特定的HTML/JavaScript代码。

利用这个漏洞,攻击者甚至可以在接收者的聊天窗口注入一个表格,让他们输入敏感信息。

有人之前认为Signal的漏洞可以让攻击者执行命令或者获取解密密钥,其实不然。

研究人员发布PoC视频后不久,Signal开发人员就修复了漏洞。

奇怪的是研究人员还发现,以前版本中存在针对此漏洞的补丁(一个用于验证URL的正则表达式函数),但它在今年4月10日发布的Signal更新中消失了。

不过广大用户不用担心,只要你用的是最新版,就不会有这个漏洞。

* 参考来源:THN,作者Sphinx,转载注明来自FreeBuf.COM

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.freebuf.com/news/171824.html

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部