Abo
  • IT-Karriere:

Code-Injection: Sicherheitslücke in Signals Desktop-Client

Eine Code-Injection-Lücke in Signals Desktop-Client ermöglicht es, aus der Ferne JavaScript auszuführen. Ein Update für die Electron-App steht bereit.

Artikel veröffentlicht am ,
Signals Desktop-App hat ein Problem.
Signals Desktop-App hat ein Problem. (Bild: Signal)

Eine Sicherheitslücke im Desktop-Client des Kryptomessengers Signal ermöglicht die Ausführung von Code über Chatfenster. Betroffen sind die Softwareversionen vor 1.10.1. Das Problem wurde von den Sicherheitsforschern Iván Ariel Barrera Oro, Alfredo Ortega und Juliano Rizzo entdeckt und vom Signal-Team mit der aktuellen Version der Software behoben.

Stellenmarkt
  1. CCV Deutschland GmbH, Au i.d. Hallertau
  2. KARL MAYER, Obertshausen

Die Sicherheitsforscher entdeckten die Lücke nach eigenen Angaben, während sie in einem Signal-Gruppenchat in der Desktop-Version eine XSS-Schwachstelle auf einer anderen Webseite diskutierten. Die Software bereinigt bestimmte HTML-Encodierte Eingaben nicht korrekt, so dass Befehle über das Programm ausgeführt werden können. Konkret betroffen sind die Tags 'img' und 'iframe', über die externe oder lokale Ressourcen nachgeladen werden können. Nach Angaben der Entdecker könnten so zum Beispiel Dateien herunter- oder hochgeladen werden.

Der Fehler tritt auch auf, weil die Content-Security-Policy unter Windows es nicht verhindert, Ressourcen über das SMB-Protokoll nachzuladen. Als Proof-of-Concept wurde als Quelle eines iframe-Tags eine SMB-Ressource eingebunden, die JavaScript enthält. Der entsprechende Code wird dann ohne Zutun der Nutzer ausgeführt.

Das Problem wurde am 10. Mai dieses Jahres entdeckt und bereits einen Tag später vom Signal-Team behoben. Nutzer sollten sicherstellen, dass sie die aktuelle Version der Software benutzen. Zuletzt hatte Signal ein anderes Problem behoben, das aber nur Mac-Nutzer betrifft. Dabei wurden die Inhalte automatisch verschwindender Nachrichten trotzdem in Logdateien aufgehoben. Signals Desktop-App basiert auf dem Electron-Gerüst, auch bei dem Unterbau gab es zuletzt Sicherheitsprobleme.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 3,99€
  3. 3,99€

baltasaronmeth 16. Mai 2018

Achso, ja. Das ist mir persönlich aber egal, wenn die Diskussion schon auf Arch und AUR...

chefin 16. Mai 2018

Für mich ein klares Indiz: Hier gehts nicht um hochkomplexe Fehler, sondern um...

Anonymer Nutzer 15. Mai 2018

was soll man auf so einen tweet noch sagen? wie kommt der herr auf 50 methoden? es werden...


Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
Mordhau angespielt
Die mit dem Schwertknauf zuschlagen

Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
Von Peter Steinlechner

  1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  2. Bright Memory angespielt Brachialer PC-Shooter aus China

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

    •  /