The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.05.2018 12:34  Уязвимости в Signal Desktop и в платформе Electron

В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены две уязвимости (CVE-2018-10994, CVE-2018-11101), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0, мобильные приложения проблемам не подвержены.

Первая уязвимость позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки "http://hacktheplanet/?p=%3Ciframe%20src="/etc/passwd"%3E%3C/iframe%3E%20PWONED" приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали обновление с устранением проблем спустя всего 2 часа после уведомления о наличии уязвимостей.

Скоро выяснилось, что существует ещё один метод проведения атаки XSS, реализуемый через подстановку в сообщения HTML-тегов iframe, ссылающегося на внешний ресурс. Выполнение HTML-кода производится не при приёме и открытии, а при попытке ответа на такие сообщения. В итоге был подготовлен прототип эксплоита на JavaScript, который отправляет на внешний сервер содержимое всех переписок, которые производятся в приложении. Второй метод атаки из-за ограничений CSP допускает только включение локальных файлов, для обхода CSP в ходе демонстрационной атаки начальный кода скрипта был замещён на SMB-разделе.

Дополнительно можно отметить уязвимость CVE-2018-1000136, затрагивающую непосредственно платформу Electron, которая позволяет обойти ограничение доступа к API Node.js (nodeIntegration: false), что может применяться для организации выполнения кода в контексте операционной системы, если у злоумышленника имеется возможность выполнить JavaScript в контексте приложения.

Суть уязвимости в том, что если разработчик приложения явно не указал в параметрах конфигурации файла webPreferences "webviewTag: false", при выполнении JavaScript можно воспользоваться доступным API Electron для создания окна с новым компонентом WebView, настройки которого уже контролируются атакующим и для этого окна можно выставить режим "nodeIngration: true". Проблема устранена до раскрытиия информации об уязвимости в мартовском обновлении платформы Electron.

Так же можно упомянуть о выявлении вредоносного ПО, нацеленного на проведение атаки на десктоп-приложение Telegram на платформе Windows. Вредоносное ПО собирает остаточные данные из кэша приложения, который может включать информацию о сеансах, контактах и предыдущих чатах. Также вредоносное ПО осуществляет поиск и передачу map-файлов, в которых хранятся ключи шифрования (защищены паролем и зашифрованы AES, вероятно для получения пароля может применяться отдельное вредоносное ПО с кейлоггером). Вредоносное ПО атакует только десктоп-редакцию Telegram, так как она не поддерживает секретные чаты и включает небезопасные настройки по умолчанию.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Релиз Electron 2.0.0, платформы создания приложений на базе движка Chromium
  3. OpenNews: Уязвимость в приложениях на базе платформы Electron
  4. OpenNews: Представлен метод атаки на групповой чат WhatsApp и Signal
  5. OpenNews: Опубликован Signal Desktop, вариант мессенджера для настольных систем
  6. OpenNews: Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщения
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: signal, xss, javascript
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, Аноним, 13:21, 17/05/2018 [ответить] [смотреть все]     [к модератору]
  • –8 +/
    А почему на сайте нет новостей про обновления telegram Про opera и chrome же ес... весь текст скрыт [показать]
     
     
  • 2.5, L29Ah, 13:28, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +9 +/
    К слову, в https://github.com/DrKLO/Telegram последний коммит полгода назад, в то время как в аппсторе уже штук десять версий успели наклепать.
     
     
  • 3.38, Аноним, 18:42, 17/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Зачем тебе новые исходники? Качай бинарники.
     
  • 2.14, НяшМяш, 15:18, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Это релизные версии? Нет. Тогда нафига про них новости писать?
     
     
  • 3.18, Аноним, 15:33, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Будьте внимательней https github com telegramdesktop tdesktop blob dev change... весь текст скрыт [показать]
     
     
  • 4.48, Аноним, 21:33, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Что вы все везде пихаете свой говенный Телеграм ... весь текст скрыт [показать]
     
     
  • 5.50, Аноним, 22:27, 17/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Потому что Дуров он как Маск и Джобс вместе взятые!
     
  • 5.64, Аноним, 02:12, 20/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А есть что-то лучше, удобнее и функциональнее его? Вот и молчи.
     
  • 4.56, НяшМяш, 01:07, 18/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    То ли я тупой, то ли там чёрным по белому написано про альфа версии, а релизная ... весь текст скрыт [показать]
     
  • 2.23, Аноним, 16:12, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Серверная часть кода закрыиа вроде же
     
     
  • 3.39, Аноним, 18:48, 17/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
     
     
  • 4.44, Аноним, 20:38, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Какая разница Пашке, ФСБ, АНБ, кому там ещё В общем мы все умрём У меня всё ... весь текст скрыт [показать]
     
     
  • 5.49, Аноним, 21:34, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Место на кладбище застолбил ... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 22:28, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Глупый вопрос Если умрут все, то зачем нужны кладбища ... весь текст скрыт [показать]
     
     
  • 7.52, Аноним, 23:19, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как зачем Есть идея сделать налог на смерть Чтобы место на кладбище досрочно о... весь текст скрыт [показать]
     
     
  • 8.55, Аноним, 00:42, 18/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В России по закону место на кладбище давно уже предоставляется бесплатно Как и ... весь текст скрыт [показать]
     
     
  • 9.60, ага, 07:36, 18/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    ничего, борьба с пережитками тоталитарного прошлого в государстве ведется день и ночь, и недалек тот день, когда умирать без уплаты пошлины будет запрещено, иначе штраф.
     
  • 8.59, Аноним, 06:00, 18/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Умрут все разом, никому ничего не нужно будет оплачивать ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 13:22, 17/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах сами-знаете-чего.
     
     
  • 2.9, Наймнейм, 14:07, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Прямой альтернативой электрону является вкладка в нормальном браузере, даже тако... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Аноним, 19:17, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Справедливости ради, в поделии Дурова невозможно ни зарегистрироваться, ни зайти... весь текст скрыт [показать]
     
  • 3.62, Аноним, 19:44, 18/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Конечно безопастнее Браузер очень сильно ограничевает возможности javascript и ... весь текст скрыт [показать]
     
  • 2.10, Аноним, 14:14, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Поклоник Гарри Потера Сами знаете чего и кого Что за загадки... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Диносуслик, 15:31, 17/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    MFC наверняка
     
  • 2.11, Andrey Mitrofanov, 14:33, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ээээ, ч-чо ERC bitlbee telegram-purple ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, Аноним, 23:21, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Мсье знает толк Что, уже научил эггдропов слать телеграммы ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 13:50, 17/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    так, что там у нас, еще пара CVE в рекомендуемом всеми секьюрити-экспертами Sign... весь текст скрыт [показать]
     
  • 1.8, Аноним, 14:00, 17/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    wire и matrix наше всё
     
     
  • 2.12, Аноним, 14:40, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Wire не на Electron?
     
     
  • 3.20, Аноним, 15:39, 17/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Wire работает через браузер.
     
     
  • 4.45, ivan, 20:55, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Вы не правы Wire как раз на електроне и работает Читайте внимательно на их оф... весь текст скрыт [показать]
     
     
  • 5.57, Найнаним, 01:36, 18/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Знал, что wire редиски Общаешься с ними - а они как заряженные, низкоквалифици... весь текст скрыт [показать]
     
  • 5.61, Аноним, 09:05, 18/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Зачем ставить клиенты на ПК если есть веб версия?
     
  • 4.47, Аноним, 21:29, 17/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/

    Signal работает как дополнение к Iron
     
  • 3.63, Ilya Indigo, 19:56, 18/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    И ещё, к тому же, судя по блокировки сайта в Крыму, он под крылом Гугл, хотя это явно нигде не упоминается.
     
  • 1.13, Всем Сосать, 15:14, 17/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +14 +/
    Месcенджер, JS, Node.js,...., сцyka, через пару лет,
    чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.
     
     
  • 2.21, Anonim, 16:03, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Зато спама не будет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, Аноним, 23:22, 17/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В дрвенем IRC спама сильно меньше чем в этих ваших социалочках и проч ... весь текст скрыт [показать]
     
  • 1.15, НяшМяш, 15:20, 17/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну а что они ожидали. Запилили клиент на веб-вью - значит поимели все сопутствующие недостатки и уязвимости.
     
     
  • 2.24, Аноне, 16:14, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Это видимо поколение тех, кто с детства играл в LEGO Собрать квадратно-гнездовы... весь текст скрыт [показать] [показать ветку]
     
  • 1.28, Аноним, 17:17, 17/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Интересно Телеграм для десктопа не поддерживает секретные чаты, а тот же telegr... весь текст скрыт [показать]
     
     
  • 2.43, Паша, 19:56, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Вообще-то поддерживает секретные чаты :)
     
  • 2.46, Аноним, 21:27, 17/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Тема про Signal... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 05:16, 18/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Свидетели телеграма, они такие
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor