В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены (http://seclists.org/fulldisclosure/2018/May/46) две уязвимости (CVE-2018-10994 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../), CVE-2018-11101 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../)), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0 (https://github.com/signalapp/Signal-Desktop/releases/tag/v1....), мобильные приложения проблемам не подвержены.
Первая уязвимость (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../) позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки "http://hacktheplanet/?p=%3Ciframe%20src="/etc... приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали (https://github.com/signalapp/Signal-Desktop/releases/tag/v1....) обновление с устранением (https://github.com/signalapp/Signal-Desktop/commit/bfbd84f5d...) проблем спустя всего 2 часа после уведомления о наличии уязвимостей.
Скоро выяснилось, что существует (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../) ещё один метод проведения атаки XSS, реализуемый через подстановку в сообщения HTML-тегов iframe, ссылающегося на внешний ресурс. Выполнение HTML-кода производится не при приёме и открытии, а при попытке ответа на такие сообщения. В итоге был подготовлен прототип эксплоита на JavaScript, который отправляет на внешний сервер содержимое всех переписок, которые производятся в приложении. Второй метод атаки из-за ограничений CSP допускает только включение локальных файлов, для обхода CSP в ходе демонстрационной атаки начальный кода скрипта был замещён на SMB-разделе.
Дополнительно можно отметить уязвимость (https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018.../) CVE-2018-1000136, затрагивающую непосредственно платформу
Electron, которая позволяет обойти ограничение доступа к API Node.js (nodeIntegration: false), что может применяться для организации выполнения кода в контексте операционной системы, если у злоумышленника имеется возможность выполнить JavaScript в контексте приложения.
Суть уязвимости в том, что если разработчик приложения явно не указал в параметрах конфигурации файла webPreferences "webviewTag: false", при выполнении JavaScript можно воспользоваться доступным API Electron для создания окна с новым компонентом WebView, настройки которого уже контролируются атакующим и для этого окна можно выставить режим "nodeIngration: true". Проблема устранена до раскрытии информации об уязвимости в мартовском обновлении платформы Electron.Так же можно упомянуть о выявлении (https://blog.talosintelligence.com/2018/05/telegrab.html) вредоносного ПО, нацеленного на проведение атаки на десктоп-приложение Telegram (https://github.com/telegramdesktop/tdesktop/) на платформе Windows.
Вредоносное ПО собирает остаточные данные из кэша приложения, который может включать информацию о сеансах, контактах и предыдущих чатах. Также вредоносное ПО осуществляет поиск и передачу map-файлов, в которых хранятся ключи шифрования (защищены паролем и зашифрованы AES, вероятно для получения пароля может применяться отдельное вредоносное ПО с кейлоггером). Вредоносное ПО атакует только десктоп-редакцию Telegram, так как она не поддерживает секретные чаты и включает небезопасные настройки по умолчанию.
URL: http://seclists.org/fulldisclosure/2018/May/46
Новость: https://www.opennet.ru/opennews/art.shtml?num=48616
А почему на сайте нет новостей про обновления telegram? Про opera и chrome же есть. https://github.com/telegramdesktop/tdesktop/blob/dev/changel...
https://github.com/telegramdesktop/tdesktop
К слову, в https://github.com/DrKLO/Telegram последний коммит полгода назад, в то время как в аппсторе уже штук десять версий успели наклепать.
Зачем тебе новые исходники? Качай бинарники.
Это релизные версии? Нет. Тогда нафига про них новости писать?
Будьте внимательней
https://github.com/telegramdesktop/tdesktop/blob/dev/changel...
> Будьте внимательней
> https://github.com/telegramdesktop/tdesktop/blob/dev/changel...Что вы все везде пихаете свой говенный Телеграм????
Потому что Дуров он как Маск и Джобс вместе взятые!
А есть что-то лучше, удобнее и функциональнее его? Вот и молчи.
> 1.2.20 alpha (13.05.18)
> 1.2.19 alpha (08.05.18)
> 1.2.18 alpha (05.05.18)То ли я тупой, то ли там чёрным по белому написано про альфа версии, а релизная как была 1.2.17, так и осталась.
Серверная часть кода закрыиа вроде же
Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
> Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.Какая разница. Пашке, ФСБ, АНБ, кому там ещё? В общем мы все умрём. У меня всё.
>> Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
> Какая разница. Пашке, ФСБ, АНБ, кому там ещё? В общем мы все
> умрём. У меня всё.Место на кладбище застолбил?
> Место на кладбище застолбил?Глупый вопрос. Если умрут все, то зачем нужны кладбища?
> Глупый вопрос. Если умрут все, то зачем нужны кладбища?Как зачем? Есть идея сделать налог на смерть. Чтобы место на кладбище досрочно оплачивалось.
В России по закону место на кладбище давно уже предоставляется бесплатно. Как и перевозка тела из морга, бюджетный гроб, земляные работы и табличка с именем.
ничего, борьба с пережитками тоталитарного прошлого в государстве ведется день и ночь, и недалек тот день, когда умирать без уплаты пошлины будет запрещено, иначе штраф.
> Чтобы место на кладбище
> досрочно оплачивалось.Умрут все разом, никому ничего не нужно будет оплачивать.
Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах сами-знаете-чего.
Прямой альтернативой электрону является вкладка в нормальном браузере, даже такой способ будет безопаснее, как оказалось.
Справедливости ради, в поделии Дурова невозможно ни зарегистрироваться, ни зайти в приватную конфу через веб-клиент, не устанавливая хендлеров для псевдопротокола tg:// в браузере.
Конечно безопастнее. Браузер очень сильно ограничевает возможности javascript и даже те ограниченные функции которые есть могут или потребовать подтверждение пользователя или откажутся выполнатся, а сам браузер имеет многоуровневую защиту.
А через node.js можно всё что угодно делать без ограничений.
> Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах
> сами-знаете-чего.Поклоник Гарри Потера? Сами знаете чего и кого.. Что за загадки
MFC наверняка
> Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах
> сами-знаете-чего.Ээээ, ч-чо??
ERC + bitlbee + telegram-purple?
> ERC + bitlbee + telegram-purple?Мсье знает толк. Что, уже научил эггдропов слать телеграммы?
так, что там у нас, еще пара CVE в рекомендуемом всеми секьюрити-экспертами Signal? Да ладно, наверно просто совпадение. Не может же быть такого, что половина этих экспертов сидит на зарплате у фейсбука, NSA и черт знает кого еще, и специально продвигает дырявый г*ософт? Еще и на электроне, лол.
wire и matrix наше всё
Wire не на Electron?
Wire работает через браузер.
Вы не правы. Wire как раз на електроне и работает.
Читайте внимательно на их офф странице на гитхабе:Cross platform desktop app, wrapping the wire-webapp. Based on Electron.
Знал, что wire редиски.
Общаешься с ними - а они как заряженные, низкоквалифицированные продавцы ширпотреба, на "витрине" все ок, а по существу(зачем, например, вам сервак), либо виляют, либо отмораживаются.
Уважаемый "Найнаним" прежде чем писать свои гневные комментарии в сторону Wire мессенджера и обвинять в том что они редиски. Вы бы хотя бы изучили ситуацию вокруг этого бага и узнали бы что настольный клиент не подвергся этой атаке, что впрочем нельзя сказать о Signal.вот почитайте:
https://github.com/wireapp/wire-desktop/issues/1467
Зачем ставить клиенты на ПК если есть веб версия?
Signal работает как дополнение к Iron
И ещё, к тому же, судя по блокировки сайта в Крыму, он под крылом Гугл, хотя это явно нигде не упоминается.
Месcенджер, JS, Node.js,...., сцyka, через пару лет,
чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.
> Месcенджер, JS, Node.js,...., сцyka, через пару лет,
> чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.Зато спама не будет
> Зато спама не будетВ дрвенем IRC спама сильно меньше чем в этих ваших социалочках и проч.
Ну а что они ожидали. Запилили клиент на веб-вью - значит поимели все сопутствующие недостатки и уязвимости.
Это видимо поколение тех, кто с детства играл в LEGO. Собрать квадратно-гнездовым способом и хвалиться, что это быстрее, красивее и надежнее, вот только за ядро и составляющие не отвечают.
Интересно. Телеграм для десктопа не поддерживает секретные чаты, а тот же telegram-purple поддерживает. Неужто разработчики телеграма не осилили свой же протокол?
Вообще-то поддерживает секретные чаты :)
> Интересно. Телеграм для десктопа не поддерживает секретные чаты, а тот же telegram-purple
> поддерживает. Неужто разработчики телеграма не осилили свой же протокол?Тема про Signal
Свидетели телеграма, они такие