Abo
  • Services:

Code-Injection: Sicherheitslücke in Signals Desktop-Client

Eine Code-Injection-Lücke in Signals Desktop-Client ermöglicht es, aus der Ferne JavaScript auszuführen. Ein Update für die Electron-App steht bereit.

Artikel veröffentlicht am ,
Signals Desktop-App hat ein Problem.
Signals Desktop-App hat ein Problem. (Bild: Signal)

Eine Sicherheitslücke im Desktop-Client des Kryptomessengers Signal ermöglicht die Ausführung von Code über Chatfenster. Betroffen sind die Softwareversionen vor 1.10.1. Das Problem wurde von den Sicherheitsforschern Iván Ariel Barrera Oro, Alfredo Ortega und Juliano Rizzo entdeckt und vom Signal-Team mit der aktuellen Version der Software behoben.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Die Sicherheitsforscher entdeckten die Lücke nach eigenen Angaben, während sie in einem Signal-Gruppenchat in der Desktop-Version eine XSS-Schwachstelle auf einer anderen Webseite diskutierten. Die Software bereinigt bestimmte HTML-Encodierte Eingaben nicht korrekt, so dass Befehle über das Programm ausgeführt werden können. Konkret betroffen sind die Tags 'img' und 'iframe', über die externe oder lokale Ressourcen nachgeladen werden können. Nach Angaben der Entdecker könnten so zum Beispiel Dateien herunter- oder hochgeladen werden.

Der Fehler tritt auch auf, weil die Content-Security-Policy unter Windows es nicht verhindert, Ressourcen über das SMB-Protokoll nachzuladen. Als Proof-of-Concept wurde als Quelle eines iframe-Tags eine SMB-Ressource eingebunden, die JavaScript enthält. Der entsprechende Code wird dann ohne Zutun der Nutzer ausgeführt.

Das Problem wurde am 10. Mai dieses Jahres entdeckt und bereits einen Tag später vom Signal-Team behoben. Nutzer sollten sicherstellen, dass sie die aktuelle Version der Software benutzen. Zuletzt hatte Signal ein anderes Problem behoben, das aber nur Mac-Nutzer betrifft. Dabei wurden die Inhalte automatisch verschwindender Nachrichten trotzdem in Logdateien aufgehoben. Signals Desktop-App basiert auf dem Electron-Gerüst, auch bei dem Unterbau gab es zuletzt Sicherheitsprobleme.



Anzeige
Top-Angebote
  1. 579€
  2. (u. a. 3 Blu-rays für 15€, Nacon PS4-Controller + Fallout 76 für 44,99€ bei Marktabholung...
  3. (u. a. ASUS ROG Strix RTX 2070 OC für 579€, Razer Ornata Chroma für 69€ und viele weitere...
  4. (u. a. Niko 2, Willkommen bei den Sch'tis, Der Mann aus dem Eis)

baltasaronmeth 16. Mai 2018

Achso, ja. Das ist mir persönlich aber egal, wenn die Diskussion schon auf Arch und AUR...

chefin 16. Mai 2018

Für mich ein klares Indiz: Hier gehts nicht um hochkomplexe Fehler, sondern um...

Anonymer Nutzer 15. Mai 2018

was soll man auf so einen tweet noch sagen? wie kommt der herr auf 50 methoden? es werden...


Folgen Sie uns
       


Apple Pay ausprobiert

Dank Apple Pay können nun auch Nutzer in Deutschland kontaktlos mit ihrem iPhone bezahlen. Wir haben den Dienst bei unserem Lieblingscafé ausprobiert.

Apple Pay ausprobiert Video aufrufen
Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

    •  /