Abo
  • Services:

Code-Injection: Sicherheitslücke in Signals Desktop-Client

Eine Code-Injection-Lücke in Signals Desktop-Client ermöglicht es, aus der Ferne JavaScript auszuführen. Ein Update für die Electron-App steht bereit.

Artikel veröffentlicht am ,
Signals Desktop-App hat ein Problem.
Signals Desktop-App hat ein Problem. (Bild: Signal)

Eine Sicherheitslücke im Desktop-Client des Kryptomessengers Signal ermöglicht die Ausführung von Code über Chatfenster. Betroffen sind die Softwareversionen vor 1.10.1. Das Problem wurde von den Sicherheitsforschern Iván Ariel Barrera Oro, Alfredo Ortega und Juliano Rizzo entdeckt und vom Signal-Team mit der aktuellen Version der Software behoben.

Stellenmarkt
  1. TeamViewer GmbH, Göppingen
  2. Automotive Safety Technologies GmbH, Gaimersheim

Die Sicherheitsforscher entdeckten die Lücke nach eigenen Angaben, während sie in einem Signal-Gruppenchat in der Desktop-Version eine XSS-Schwachstelle auf einer anderen Webseite diskutierten. Die Software bereinigt bestimmte HTML-Encodierte Eingaben nicht korrekt, so dass Befehle über das Programm ausgeführt werden können. Konkret betroffen sind die Tags 'img' und 'iframe', über die externe oder lokale Ressourcen nachgeladen werden können. Nach Angaben der Entdecker könnten so zum Beispiel Dateien herunter- oder hochgeladen werden.

Der Fehler tritt auch auf, weil die Content-Security-Policy unter Windows es nicht verhindert, Ressourcen über das SMB-Protokoll nachzuladen. Als Proof-of-Concept wurde als Quelle eines iframe-Tags eine SMB-Ressource eingebunden, die JavaScript enthält. Der entsprechende Code wird dann ohne Zutun der Nutzer ausgeführt.

Das Problem wurde am 10. Mai dieses Jahres entdeckt und bereits einen Tag später vom Signal-Team behoben. Nutzer sollten sicherstellen, dass sie die aktuelle Version der Software benutzen. Zuletzt hatte Signal ein anderes Problem behoben, das aber nur Mac-Nutzer betrifft. Dabei wurden die Inhalte automatisch verschwindender Nachrichten trotzdem in Logdateien aufgehoben. Signals Desktop-App basiert auf dem Electron-Gerüst, auch bei dem Unterbau gab es zuletzt Sicherheitsprobleme.



Anzeige
Spiele-Angebote
  1. 23,99€
  2. 23,49€
  3. 39,99€
  4. (-79%) 5,99€

baltasaronmeth 16. Mai 2018 / Themenstart

Achso, ja. Das ist mir persönlich aber egal, wenn die Diskussion schon auf Arch und AUR...

chefin 16. Mai 2018 / Themenstart

Für mich ein klares Indiz: Hier gehts nicht um hochkomplexe Fehler, sondern um...

Anonymer Nutzer 15. Mai 2018 / Themenstart

was soll man auf so einen tweet noch sagen? wie kommt der herr auf 50 methoden? es werden...

Kommentieren


Folgen Sie uns
       


Detroit Become Human - Livestream

Detroit: Become Human hat unseren Chat und Livestreamer Michael Wieczorek überzeugt. Immer wieder und wieder wollten wir wissen, wie es in dem spannenden Sci-Fi-Krimi in unserer(?) Zukunft weitergeht.

Detroit Become Human - Livestream Video aufrufen
Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
Kailh KS-Switch im Test
Die bessere Alternative zu Cherrys MX Blue

Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
  3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Ryzen 5 2600X im Test: AMDs Desktop-Allrounder
    Ryzen 5 2600X im Test
    AMDs Desktop-Allrounder

    Der Ryzen 5 2600X ist eine der besten sechskernigen CPUs am Markt. Für gut 200 Euro liefert er die gleiche Leistung wie der Core i5-8600K. Der AMD-Chip hat klare Vorteile bei Anwendungen, das Intel-Modell in Spielen.
    Ein Test von Marc Sauter

    1. Golem.de-Livestream Wie gut ist AMDs Ryzen 2000?
    2. RAM-Overclocking getestet Auch Ryzen 2000 profitiert von schnellem Speicher
    3. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs

      •  /