Abo
  • Services:

Code-Injection: Sicherheitslücke in Signals Desktop-Client

Eine Code-Injection-Lücke in Signals Desktop-Client ermöglicht es, aus der Ferne JavaScript auszuführen. Ein Update für die Electron-App steht bereit.

Artikel veröffentlicht am ,
Signals Desktop-App hat ein Problem.
Signals Desktop-App hat ein Problem. (Bild: Signal)

Eine Sicherheitslücke im Desktop-Client des Kryptomessengers Signal ermöglicht die Ausführung von Code über Chatfenster. Betroffen sind die Softwareversionen vor 1.10.1. Das Problem wurde von den Sicherheitsforschern Iván Ariel Barrera Oro, Alfredo Ortega und Juliano Rizzo entdeckt und vom Signal-Team mit der aktuellen Version der Software behoben.

Stellenmarkt
  1. UNISERV GmbH, Pforzheim
  2. CCV Deutschland GmbH, Moers

Die Sicherheitsforscher entdeckten die Lücke nach eigenen Angaben, während sie in einem Signal-Gruppenchat in der Desktop-Version eine XSS-Schwachstelle auf einer anderen Webseite diskutierten. Die Software bereinigt bestimmte HTML-Encodierte Eingaben nicht korrekt, so dass Befehle über das Programm ausgeführt werden können. Konkret betroffen sind die Tags 'img' und 'iframe', über die externe oder lokale Ressourcen nachgeladen werden können. Nach Angaben der Entdecker könnten so zum Beispiel Dateien herunter- oder hochgeladen werden.

Der Fehler tritt auch auf, weil die Content-Security-Policy unter Windows es nicht verhindert, Ressourcen über das SMB-Protokoll nachzuladen. Als Proof-of-Concept wurde als Quelle eines iframe-Tags eine SMB-Ressource eingebunden, die JavaScript enthält. Der entsprechende Code wird dann ohne Zutun der Nutzer ausgeführt.

Das Problem wurde am 10. Mai dieses Jahres entdeckt und bereits einen Tag später vom Signal-Team behoben. Nutzer sollten sicherstellen, dass sie die aktuelle Version der Software benutzen. Zuletzt hatte Signal ein anderes Problem behoben, das aber nur Mac-Nutzer betrifft. Dabei wurden die Inhalte automatisch verschwindender Nachrichten trotzdem in Logdateien aufgehoben. Signals Desktop-App basiert auf dem Electron-Gerüst, auch bei dem Unterbau gab es zuletzt Sicherheitsprobleme.



Anzeige
Top-Angebote
  1. (u. a. Fast & Furious 7, Star Trek: Into Darkness, Fifty Shades of Grey, Jurassic World, Hulk...
  2. 15,99€
  3. (u. a. DOOM 7,99€, Lords of the Fallen - Game of the Year Edition 3,99€, Dawn of War III 16...

baltasaronmeth 16. Mai 2018 / Themenstart

Achso, ja. Das ist mir persönlich aber egal, wenn die Diskussion schon auf Arch und AUR...

chefin 16. Mai 2018 / Themenstart

Für mich ein klares Indiz: Hier gehts nicht um hochkomplexe Fehler, sondern um...

bjs 15. Mai 2018 / Themenstart

was soll man auf so einen tweet noch sagen? wie kommt der herr auf 50 methoden? es werden...

Kommentieren


Folgen Sie uns
       


Red Dead Redemption in 4K - Grafikvergleich

Wir haben Red Dead Redemption in 4K auf der Xbox One X angespielt und zeigen unseren Grafikvergleich mit der Originalfassung.

Red Dead Redemption in 4K - Grafikvergleich Video aufrufen
Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
    Kailh KS-Switch im Test
    Die bessere Alternative zu Cherrys MX Blue

    Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
    Ein Test von Tobias Költzsch

    1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
    2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
    3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

    Google I/O 2018: Eine Entwicklerkonferenz für Entwickler
    Google I/O 2018
    Eine Entwicklerkonferenz für Entwickler

    Google I/O 2018 Die Google I/O präsentiert sich erneut als Messe für Entwickler und weniger für konventionelle Nutzer. Die Änderungen bei Maps, Google Lens oder News sind zwar nett, spannend wird es aber mit Linux-Apps auf Chromebooks.
    Eine Analyse von Tobias Költzsch, Ingo Pakalski und Sebastian Grüner

    1. Google Android P trennt stärker zwischen Privat und Arbeit
    2. Smartwatch Zweite Vorschau von Wear OS bringt neuen Akkusparmodus
    3. Augmented Reality Google unterstützt mit ARCore künftig auch iOS

      •  /