Inyección de código arbitrario en Signal Desktop

Iniciado por wolfbcn, 19 Mayo 2018, 01:42 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

La versión de escritorio de la popular aplicación de mensajería contiene una vulnerabilidad que permite ejecutar código arbitrario (de momento, solo confirmado javascript) en el cliente receptor del mensaje.

Jueves por la tarde. En una charla entre amigos a través de Signal Desktop, uno de ellos comparte una URL. Pero en el mensaje, en vez de aparecer ésta al completo, parte se muestra como imagen. En cualquier otro grupo el error hubiera pasado desapercibido y seguirían tranquilamente con sus vidas. Pero cuando el grupo es de investigadores de seguridad, salta la liebre y hay que llegar al fondo del asunto.

De esta forma los investigadores Iván Ariel Barrera (@HacKanCuBa), Alfredo Ortega (@ortegaalfredo) y Juliano Rizzo (@julianor) descubrieron la semana pasada una vulnerabilidad en Signal Desktop que permite a cualquier usuario inyectar código en el cliente receptor del mensaje.

LEER MAS: https://unaaldia.hispasec.com/2018/05/inyeccion-de-codigo-arbitrario-en.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.