کشف باگی مهم در پیام رسان Signal در ویندوز و لینوکس

14:20 ۲۴۷ روز و ۷ ساعت پیش ایتنا 427 0
کشف باگی مهم در پیام رسان Signal در ویندوز و لینوکس

ایتنا - این آسیب پذیری می‌تواند به مجرمان اجازه دهد تا یک کد مخرب را با ارسال یک مسیج و بدون اینکه نیازی به تداخل در سیستم گیرنده داشته باشند اجرا کند.

ایتنا



به تازگی محققان امنیتی یک آسیب پذیری جدی را در برنامه پیام رسان محبوب Signal نسخه دسکتاپی آن یافته اند که در آن عملیات رمزنگاری نقطه به نقطه به کار گرفته شده است و در سیستم عامل های ویندوز و لینکوس قابل اجرا است. این آسیب پذیری می تواند به مجرمان اجازه دهد تا یک کد مخرب را با ارسال یک مسیج و بدون اینکه نیازی به تداخل در سیستم گیرنده داشته باشند اجرا کند.

به گزارش سرویس اخبار تکنولوژی از کسپرسکی آنلاین ، آسیب پذیری بوجود آمده توسط Alfredo Ortega مشاور امنیتی نرم افزار شناسایی شد که در توییتر به همراه یک ویدئو آن را اثبات کرده است و نشان می‌دهد که چگونه یک پیلود جاوا اسکریپت از طریق برنامه سیگنال فرستاده می شود و با موفقیت در سیستم کاربر قابل اجرا است.

اگرچه جزئیات فنی تر این آسیب پذیری تا به حال نشر نشده است اما اینطور که به نظر می رسد این آسیب پذیری یک اجرای کد از راه دور یا چیزی شبیه یک آسیب پذیری دایمی XSS در برنامه سیگنال است که می تواند مجرمان را برای تزریق کدهای مخرب بر روی ویندوز و لینکوس قادر بسازد.

Ortega محقق امنیتی به وب سایت امنیتی Hacker News گفت: " در حال حاضر این فقط ما هستیم که می توانیم اجرای کدهای جاوااسکریپت را تایید کنیم. اما با این حال ما در حال ردیابی آن هستیم و احتمالا این آسیب پذیری بیشتر از اجرای جاوا اسکریپت می تواند به اجرای کدهای محلی منجر شود".

وی همچنین گفت: بهره برداری از این موضوع به به کار گرفتن چندین آسیب پذیری نیاز دارند که دو محقق امنیتی آرژانتینی دیگر با نام‌ها  Ivan  و Juliano این کار را انجام داده اند.
Ivan این محقق امنیتی می گوید: " من می توانم ثابت کنم که این آسیب پذیری پیش از این وجود نداشت و به تازگی است که رونمایی شده است زیرا توسعه دهندگان فراموش کرده اند که علت وجود یک  regex  برای شروع چیست".

هنوز مشخص نیست که این آسیب پذیری اولیه یا سایر مشکلات زنجیره ای در سورس کد سیگنال وجود دارند یا که در فریم ورک محبوب  Electron  قرار گرفته اند.(Electron تکنولوژی است که در آن برنامه های دسکتاپ سیگنال قرار گرفته اند).

اگر که این آسیب پذیری در بخش Electron قرار گرفته باشد ممکن است بر روی برنامه های کاربردی دیگر دسکتاپ همانند اسکایپ، وردپرس و Slack که از یک فریم ورک مشابه استفاده می کنند، تاثیر بگذارد.
علاوه بر این  آسیب پذیری بوجود آمده جامعه infosec را نگران کرده است زیرا این نقص به مجرمان اجازه می دهد تا بتوانند از راه دور کلیدهای رمزنگاری کاربران را به سرقت ببرند و این موضوع بدترین کابوس برای کاربران برنامه سیگنال خواهد بود.

اما خبر خوبی که در این رابطه وجود دارد این است که Open Whisper Systems فعلا این موضوع را رفع کرده است و بلافاصله پس از دریافت اطلاعات مربوط به آسیب پذیری نسخه های جدیدی از برنامه سیگنال را منتشر ساخته است.

آسیب پذیری ابتدایی که باعث می شود تا مجرمان بتوانند کدهای مخرب خود را اجرا کنند در نسخه ی ۱٫۱۰٫۱ برنامه ی سیگنال و نسخه سوم ۱٫۱۱٫۰ پچ شده است. از همین رو به کاربران توصیه می شود حتما برنامه سیگنال را آپدیت و آسیب پذیری ها را پچ کنند.

Ortega گفت: " ما هنوز مطمئن نیستیم که تمامی آسیب پذیری های بوجود آمده رفع و خطری وجود نداشته باشد".
 


گروه های زیر مجموعه فناوری اطلاعات

 نرم افزار
نرم افزار

آخرین اخبار

مرعشی: اصلاح طلبان در عبور از گردنه سخت کنار دولت هستند
ساری- ایرنا- سخنگوی حزب کارگزاران سازندگی گمانه زنی در باره فاصله گرفتن اصلاح طلبان از دولت تدبیر و امید را نادرست دانست و گفت: اصلاح طلبان در عبور از گردنه سختی که کشور دچار آن شده در کنار دولت هستند.
نخستین همایش تصویربرداری استخوان و ماهیچه در مشهد برگزار شد
مشهد - ایرنا - نخستین همایش تصویربرداری از استخوان و ماهیچه (موسکولواسکلتال) روز پنجشنبه با حضور 160 نفر از رادیولوژیست های شرق کشور در مشهد برگزار شد.
مسیر هراز بازگشایی شد
تهران-ایرنا - رئیس ستاد مدیریت بحران شهرستان دماوند گفت: مسیر هراز که ساعاتی قبل به دلیل بارش سنگین برف و کولاک و همچنین لغزندگی بسته شده بود، با تلاش ماموران راهداری، پلیس راه و دیگر عوامل ستاد مدیریت بحران شهرستان، باز شد.
500 امدادگر چهار استان ارتقای درجه یافتند
مشهد - ایرنا - 500 نفر از امدادگران و نجاتگران جمعیت هلال احمر چهار استان کشور روز پنجشنبه طی مراسمی در مشهد ارتقای درجه یافتند.
وزیر راه :جاده های اصلی به بزرگراه تبدیل می شوند
گناوه-ایرنا- وزیر راه و شهرسازی گفت: یکی از برنامه های اولویت دار این وزارتخانه تبدیل مسیر اصلی جاده هایی با بار ترافیکی سنگین به بزرگراه بویژه در استان بوشهر است.
عملیات اجرایی راه آهن بوشهر- شیراز آغاز شد
بوشهر-ایرنا- عملیات اجرایی قطعه 10 راه آهن شیراز - بوشهر با اعتبار 2هزار و 343 میلیارد ریال شامگاه پنجشنبه در آئینی با حضور محمد اسلامی وزیر راه و شهرسازی در بوشهر آغاز شد.
سوانح رانندگی در هر شبانه روز 50 فوتی به همراه دارد
تبریز- ایرنا - رئیس پلیس راه کشور گفت: در هر 24 ساعت 50 نفر به دلیل سوانح رانندگی در جاده های برون شهری و درون شهری کشور جان خود را از دست می‌دهند.
گرد و غبار در اهواز به 22 برابر حد مجاز رسید
اهواز - ایرنا - میزان گرد و غبار در بعدازظهر روز پنجشنبه در اهواز به سه هزار و 304 میکروگرم بر مترمکعب (22 برابر حدمجاز) رسید.
چهار گردنه استان قزوین با کولاک همراه هستند
قزوین - ایرنا -معاون راهداری اداره کل حمل و نقل جاده ای قزوین گفت: هم اکنون گردنه های آوج، قسطین لار و بهرام آباد و طالقان با بارش برف و کولاک همراه هستند.
تولیدات کشاورزی ایران پس از انقلاب 4 برابر شده است
شهرکرد- ایرنا- وزیر جهاد کشاورزی گفت: تولیدات کشاورزی کشور از 25 میلیون تن در ابتدای پیروزی انقلاب اسلامی، اینک به 122 میلیون تن افزایش یافته که این رقم افزایش 4 برابری را نشان می دهد.

پر بازدید ترین اخبار امروز

عربستان - قطر؛ بازی سیاسی در ابوظبی
چهاردهمین روز از مسابقات فوتبال جام ملت‌های آسیا امشب با برگزاری چهار دیدار پیگیری خواهد شد.
دفاع تراکتوری‌ها از خرج‌های میلیاردی زنوزی
رئیس هیئت‌مدیره باشگاه تراکتورسازی با بیان این موضوع که باشگاه تبریزی دولتی نیست از خرج‌هایی که طی این مدت انجام شده دفاع کرد.
برخورد گرم کاتانچ و بازیکن عراقیِ آبی‌ها با بیرانوند
پس از پایان بازی ایران و عراق سرمربی اسلوونیایی عراق برخورد گرمی با دروازه‌بان تیم ملی ایران داشت.
قیمت طلا، سکه و ارز در بازار امروز
قیمت سکه تمام‌بهار آزادی در بازار تهران امروز، به مرز ۴ میلیون تومان رسید.
مراسم تشییع پیکر «حسین محب اهری» با حضور جمع کثیری از هنرمندان برگزار شد
مراسم تشییع پیکر هنرمند فقید حسین محب اهری، صبح امروز با حضور جمع کثیری از هنرمندان و علاقه‌مندان برگزار شد.
پیامد عجیب باج‌افزاری در تگزاس!