کشف باگی مهم در پیام رسان Signal در ویندوز و لینوکس

14:20 ۸ روز و ۱ ساعت پیش ایتنا 109 0
کشف باگی مهم در پیام رسان Signal در ویندوز و لینوکس

ایتنا - این آسیب پذیری می‌تواند به مجرمان اجازه دهد تا یک کد مخرب را با ارسال یک مسیج و بدون اینکه نیازی به تداخل در سیستم گیرنده داشته باشند اجرا کند.

ایتنا



به تازگی محققان امنیتی یک آسیب پذیری جدی را در برنامه پیام رسان محبوب Signal نسخه دسکتاپی آن یافته اند که در آن عملیات رمزنگاری نقطه به نقطه به کار گرفته شده است و در سیستم عامل های ویندوز و لینکوس قابل اجرا است. این آسیب پذیری می تواند به مجرمان اجازه دهد تا یک کد مخرب را با ارسال یک مسیج و بدون اینکه نیازی به تداخل در سیستم گیرنده داشته باشند اجرا کند.

به گزارش سرویس اخبار تکنولوژی از کسپرسکی آنلاین ، آسیب پذیری بوجود آمده توسط Alfredo Ortega مشاور امنیتی نرم افزار شناسایی شد که در توییتر به همراه یک ویدئو آن را اثبات کرده است و نشان می‌دهد که چگونه یک پیلود جاوا اسکریپت از طریق برنامه سیگنال فرستاده می شود و با موفقیت در سیستم کاربر قابل اجرا است.

اگرچه جزئیات فنی تر این آسیب پذیری تا به حال نشر نشده است اما اینطور که به نظر می رسد این آسیب پذیری یک اجرای کد از راه دور یا چیزی شبیه یک آسیب پذیری دایمی XSS در برنامه سیگنال است که می تواند مجرمان را برای تزریق کدهای مخرب بر روی ویندوز و لینکوس قادر بسازد.

Ortega محقق امنیتی به وب سایت امنیتی Hacker News گفت: " در حال حاضر این فقط ما هستیم که می توانیم اجرای کدهای جاوااسکریپت را تایید کنیم. اما با این حال ما در حال ردیابی آن هستیم و احتمالا این آسیب پذیری بیشتر از اجرای جاوا اسکریپت می تواند به اجرای کدهای محلی منجر شود".

وی همچنین گفت: بهره برداری از این موضوع به به کار گرفتن چندین آسیب پذیری نیاز دارند که دو محقق امنیتی آرژانتینی دیگر با نام‌ها  Ivan  و Juliano این کار را انجام داده اند.
Ivan این محقق امنیتی می گوید: " من می توانم ثابت کنم که این آسیب پذیری پیش از این وجود نداشت و به تازگی است که رونمایی شده است زیرا توسعه دهندگان فراموش کرده اند که علت وجود یک  regex  برای شروع چیست".

هنوز مشخص نیست که این آسیب پذیری اولیه یا سایر مشکلات زنجیره ای در سورس کد سیگنال وجود دارند یا که در فریم ورک محبوب  Electron  قرار گرفته اند.(Electron تکنولوژی است که در آن برنامه های دسکتاپ سیگنال قرار گرفته اند).

اگر که این آسیب پذیری در بخش Electron قرار گرفته باشد ممکن است بر روی برنامه های کاربردی دیگر دسکتاپ همانند اسکایپ، وردپرس و Slack که از یک فریم ورک مشابه استفاده می کنند، تاثیر بگذارد.
علاوه بر این  آسیب پذیری بوجود آمده جامعه infosec را نگران کرده است زیرا این نقص به مجرمان اجازه می دهد تا بتوانند از راه دور کلیدهای رمزنگاری کاربران را به سرقت ببرند و این موضوع بدترین کابوس برای کاربران برنامه سیگنال خواهد بود.

اما خبر خوبی که در این رابطه وجود دارد این است که Open Whisper Systems فعلا این موضوع را رفع کرده است و بلافاصله پس از دریافت اطلاعات مربوط به آسیب پذیری نسخه های جدیدی از برنامه سیگنال را منتشر ساخته است.

آسیب پذیری ابتدایی که باعث می شود تا مجرمان بتوانند کدهای مخرب خود را اجرا کنند در نسخه ی ۱٫۱۰٫۱ برنامه ی سیگنال و نسخه سوم ۱٫۱۱٫۰ پچ شده است. از همین رو به کاربران توصیه می شود حتما برنامه سیگنال را آپدیت و آسیب پذیری ها را پچ کنند.

Ortega گفت: " ما هنوز مطمئن نیستیم که تمامی آسیب پذیری های بوجود آمده رفع و خطری وجود نداشته باشد".
 


گروه های زیر مجموعه فناوری اطلاعات

مديريت ICT
مديريت ICT

آخرین اخبار

باکیفیت‌ترین تشک و کالای خواب ایرانی را کدام برند تولید می‌کند؟
شرکت ویستر اعلام کرد: برند ویستر باکیفیت‌ترین تشک، بالش و کالای خواب را بر اساس استانداردهای روز دنیا و با قیمت بسیار مناسب تولید می‌کند.
ویدئو - پنج فیلم پرفروش هفته - ۲ خرداد
از میان فیلم‌های در حال اکران بر پرده سینماهای سراسر کشور، پنج فیلم توانسته‌اند رتبه‌های بالای جدول پرفروش‌ترین‌های هفته اخیر (۲۶ اردیبهشت تا ۲ خرداد ۱۳۹۷) را به خود اختصاص دهند. در این ویدئو این پنج فیلم را مرور می‌کنیم.
کماندار ایران به فینال جام جهانی نرسید- رقابت محبوبی با آمریکا برای مدال برنز
در ادامه رقابت‌های مرحله دوم جام جهانی تیروکمان که در ترکیه در حال برگزاری است، نیمام محبوبی در مرحله نیمه‌نهایی رقابت را به کماندار هلند واگذار کرد و به مرحله رده‌بندی راه پیدا کرد.
راهیابی کماندار ایران به نیمه نهایی جام جهانی- حذف عبادی و دو ملی‌پوش دیگر
در ادامه رقابت‌های جام جهانی تیروکمان که در آنتالیای ترکیه در حال برگزاری است، 3 کماندار کامپوند کشورمان از رسیدن به مرحله یک هشتم مسابقات جام جهانی بازماندند و تنها نیما محبوبی توانست به مرحله نیمه نهایی راه پیدا کند.
رکابزنان پیشگامان بدون سکو در تور فیلیپین
رکابزنان پیشگامان نتوانستند در تور دوچرخه سواری فیلیپین بر روی سکو بروند و این تیم پنجم شد.
زمان انتخابات فدراسیون سوارکاری مشخص شد
معاونت توسعه ورزش قهرمانی و حرفه ای وزارت ورزش و جوانان زمان برگزاری مجمع انتخابات فدراسیون سوارکاری را 19 خردادماه سال جاری اعلام کرد.
کاروان ورزشی کارگران ایران به لابول فرانسه رسید
کاروان ورزشی کارگران ایران به مسابقات جهانی شرکت ها در لابول فرانسه رسید.
مرد شماره یک بدمینتون ایران: ورزش حرفه ای آینده ورزشکار را تامین نمی‌کند
مهران شهبازی معتقد است ورزش حرفه ای نمی‌تواند آینده ورزشکاران ایرانی را تامین کند.
انتظار قهرمانی سلطانی‌فر از تیم المپیک ایران در بازیهای آسیایی
وزیر ورزش و جوانان در مراسم تجلیل از قهرمانان ورزشی با حضور رئیس جمهور خطاب به حمید استیلی، مدیر تیم المپیک ایران ، گفت‌: با توان و استعداد و جایگاهی که فوتبال ایران در رده نخست رنکینگ آسیا دارد از این تیم در بازی‌های آسیایی جاکارتا توقع مدال طلا داریم.
رکورد ۱.۸۴ سپیده توکلی تائید شد
فدراسیون دوومیدانی و هیات ژوری بالاخره رکورد ۱.۸۴ سپیده توکلی در ماده پرش ارتفاع رقابت‌های لیگ طلایی را ثبت کرد و او هم چنان رکورددار این ماده در ایران است.

پر بازدید ترین اخبار امروز

خانم بازیگر در یک نمایشگاه اتومبیل لاکچری-عکس
عکسی از مریم معصومی و سگش در یک نمایشگاه خودروهای لوکس را مشاهده می کنید.
عکس متفاوت و پراز عشق ˮالنازشاکردوستˮ با پوششی خاص-عکس
"الناز شاکردوست" ، سوپراستار سینمای ایران ؛ با انتشار عکسی از سفرش به چابهار صفحه شخصی خود را به روز کرد.
خبرخوش نوربخش برای مستمری بگیران تامین اجتماعی
مدیرعامل سازمان تأمین اجتماعی بابیان اینکه این سازمان اقدامات مؤثری درزمینه فرهنگ‌سازی خرید کالای ایرانی انجام داده است،گفت:٦٠٠ میلیارد تومان تسهیلات برای مستمری بگیران در نظر گرفته شده است.
حماسه غلط‌های املایی ˮبهاره رهنماˮ ادامه دارد -عکس
رهنما در یکی از توئیت های حمایتی خود از آشوبگران دی ماه 96 به جای کلمه اغتشاش از عبارت اختشاش در توییت‌هایش استفاده کرد.
اعضای کابینه دوازدهم در حاشیه جلسه دولت چه گفتند؟
اعضای کابینه دوازدهم در حاشیه جلسه امروز (چهارشنبه دوم خرداد) هیات دولت در حیاط دولت با حضور در جمع خبرنگاران به سوالاتشان پاسخ دادند.
کامپیوترتان چگونه تبدیل به زامبی می‌شود؟
فورا Acrobat Reader و Photoshop CC را آپدیت کنید!