原标题:Signal漏洞连环爆! 桌面版应用程序一周内被爆两个程式码注入漏洞
由于EFAIL漏洞影响E-mail加密邮件安全性,EFF则建议可以暂时使用加密通讯软件Signal做替代,不过,Signal这边似乎也不太平静,除了不久前被爆出Mac版Signal留存该消失的过期讯息外,在一周内被爆出两个桌面版应用程序的程式码注入攻击漏洞,皆能让骇客从远端发送恶意程式码,而且过程无须用户参与。
第一个漏洞是被阿根廷的白帽骇客在无意间发现的,资讯安全研究员Iván△Ariel△Barrera△Oro、Alfredo△Ortega以及Juliano△Rizzo三人使用Signal聊天,其中一人贴了跨站脚本攻击(cross-site△scripting,XSS)负载的链结,而这个XSS负载却被Signal桌面应用程序意外的执行了。
这个代码为CVE-2018-10994的漏洞,严重的地方在于骇客可以自己开始与被害人的对话,而且在攻击的过程不需要被害人参与互动,Windows、Linux以及macOS平台的桌面应用程序都在漏洞影响范围之内,骇客只要传送一个精心制作的网址给被害人,就能轻易攻击对方。
资讯安全研究人员试了各种HTML的元素包含img、form、script、object、frame、framset、iframe甚至声音与视频元素都有效,他们提到,特别是在iframe中,还可以通过微软伺服器讯息区块(SMB)协议分享恶意程式码,让骇客远端执行任意恶意程式码。
研究人员对此做了一个概念性验证,发现利用HTML△iframe可以窃取Windows用户的NTLMv2杂凑密码。他们提到,在Windows作业系统中,CSP(Commercial△Service△Provider)无法阻止通过SMB协议传送的远程攻击资源。
更引人注意的是,Signal以飞快的速度以修补了该漏洞,而该补丁内含一个庞大的正规表示式,资讯安全研究员提到,他们无法置信Signal官方能在这么短的时间撰写这个复杂的式子,结果深入了解发现,该补丁早就存在,但是在4月时为了修复部分问题被移除了,现在只是恢复该补丁。资讯安全研究员认为,那之前移除该补丁的问题应该就又回来了。
在第一个漏洞修补完后,资讯安全研究员随后又发现Signal桌面版本的另一个漏洞CVE-2018-11101,与先前漏洞类似,但这次是发生在引述讯息的功能中,也就说现在骇客只是多一道手续,先发送HTML/JavaScript恶意程式码,接着再引述该讯息,便能进接着进行第一个漏洞后续的攻击,而同样的,Signal桌面应用程序会自动执行收到的恶意程式码,不需要与受害者互动。
Signal官方在收到通知后,对第二个漏洞也进行了修补,Signal桌面应用程序有自动更新功能,多数用户的软件应该皆已更新,还未更新的用户也应该赶紧手动更新,因为该漏洞有机会让用户的加密讯息以明文曝光,或是导致其他更严重的后果。
相关:
不用等量子电脑,富士通数位退火晶片DAU明年登场,8千个变数的超复杂组合方程式也能速解
不用苦等量子电脑商品化,富士通社长田中达也在2018年东京论坛大会上,发表了全球第一款启发自量子退火演算法的专用晶片称为数位退火计算专用处理器DAU(Digital△Annealer△Unit),也宣布从5月15日正式推出数位退火
LocationSmart网站漏洞可能泄露北美2亿手机用户位置
图片来源: Robert△Xiao 卡内基梅隆大学人机互动学院的研究人员Robert△Xiao本周揭露LocationSmart网站服务的一个安全漏洞,骇客借由此一位不见经传的网站上可能取得美国与加拿大近2亿名手机用户的位置。LocationSma
EFAIL漏洞可能泄露加密邮件明文内容,Thunderbird建议用户不要停用加密邮件功能
图片来源: Thunderbird Mozilla旗下的E-mail客户端软件Thunderbird在官方博客公告,使用者应对EFAIL的方法,Thunderbird建议用户停用远端内容,以禁止图像、样式表或是视频在E-mail信件中显示,另外,还特别提到他们
盘古实验室:全球有10%的iOS程式含有ZipperDown漏洞,可危及程式功能与权限
示意图,与新闻事件无关。 中国盘古实验室本周指出,他们在iOS应用程序中发现了ZipperDown通用安全漏洞,在所检视的16.8万个iOS应用程序中,有接近1.6万个受到波及,所占比例约10%,骇客可借此破坏应用程序数据,或
Ubuntu Snap商店中首度发现恶意软件,2048小游戏内藏采矿程式
Node.js套件管理器Npm才被发现有恶意后门套件,现在又有使用者在Ubuntu△Snap商店发现,在上面特定作者发布的应用程序含有挖矿程式,Canonical表示,他们在收到从GitHub上的通报后,已经移除了该作者的所有应用程序。