• IT-Karriere:
  • Services:

Code-Injection: Sicherheitslücke in Signals Desktop-Client

Eine Code-Injection-Lücke in Signals Desktop-Client ermöglicht es, aus der Ferne JavaScript auszuführen. Ein Update für die Electron-App steht bereit.

Artikel veröffentlicht am ,
Signals Desktop-App hat ein Problem.
Signals Desktop-App hat ein Problem. (Bild: Signal)

Eine Sicherheitslücke im Desktop-Client des Kryptomessengers Signal ermöglicht die Ausführung von Code über Chatfenster. Betroffen sind die Softwareversionen vor 1.10.1. Das Problem wurde von den Sicherheitsforschern Iván Ariel Barrera Oro, Alfredo Ortega und Juliano Rizzo entdeckt und vom Signal-Team mit der aktuellen Version der Software behoben.

Stellenmarkt
  1. Polytec GmbH, Waldbronn
  2. Remsgold Chemie GmbH & Co. KG, Winterbach

Die Sicherheitsforscher entdeckten die Lücke nach eigenen Angaben, während sie in einem Signal-Gruppenchat in der Desktop-Version eine XSS-Schwachstelle auf einer anderen Webseite diskutierten. Die Software bereinigt bestimmte HTML-Encodierte Eingaben nicht korrekt, so dass Befehle über das Programm ausgeführt werden können. Konkret betroffen sind die Tags 'img' und 'iframe', über die externe oder lokale Ressourcen nachgeladen werden können. Nach Angaben der Entdecker könnten so zum Beispiel Dateien herunter- oder hochgeladen werden.

Der Fehler tritt auch auf, weil die Content-Security-Policy unter Windows es nicht verhindert, Ressourcen über das SMB-Protokoll nachzuladen. Als Proof-of-Concept wurde als Quelle eines iframe-Tags eine SMB-Ressource eingebunden, die JavaScript enthält. Der entsprechende Code wird dann ohne Zutun der Nutzer ausgeführt.

Das Problem wurde am 10. Mai dieses Jahres entdeckt und bereits einen Tag später vom Signal-Team behoben. Nutzer sollten sicherstellen, dass sie die aktuelle Version der Software benutzen. Zuletzt hatte Signal ein anderes Problem behoben, das aber nur Mac-Nutzer betrifft. Dabei wurden die Inhalte automatisch verschwindender Nachrichten trotzdem in Logdateien aufgehoben. Signals Desktop-App basiert auf dem Electron-Gerüst, auch bei dem Unterbau gab es zuletzt Sicherheitsprobleme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 31,99€
  2. 41,99€
  3. (-80%) 2,99€

baltasaronmeth 16. Mai 2018

Achso, ja. Das ist mir persönlich aber egal, wenn die Diskussion schon auf Arch und AUR...

chefin 16. Mai 2018

Für mich ein klares Indiz: Hier gehts nicht um hochkomplexe Fehler, sondern um...

Anonymer Nutzer 15. Mai 2018

was soll man auf so einen tweet noch sagen? wie kommt der herr auf 50 methoden? es werden...


Folgen Sie uns
       


Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
    •  /