The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в Signal Desktop и в платформе Electron

17.05.2018 12:34

В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены две уязвимости (CVE-2018-10994, CVE-2018-11101), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0, мобильные приложения проблемам не подвержены.

Первая уязвимость позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки "http://hacktheplanet/?p=%3Ciframe%20src="/etc/passwd"%3E%3C/iframe%3E%20PWONED" приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали обновление с устранением проблем спустя всего 2 часа после уведомления о наличии уязвимостей.

Скоро выяснилось, что существует ещё один метод проведения атаки XSS, реализуемый через подстановку в сообщения HTML-тегов iframe, ссылающегося на внешний ресурс. Выполнение HTML-кода производится не при приёме и открытии, а при попытке ответа на такие сообщения. В итоге был подготовлен прототип эксплоита на JavaScript, который отправляет на внешний сервер содержимое всех переписок, которые производятся в приложении. Второй метод атаки из-за ограничений CSP допускает только включение локальных файлов, для обхода CSP в ходе демонстрационной атаки начальный кода скрипта был замещён на SMB-разделе.

Дополнительно можно отметить уязвимость CVE-2018-1000136, затрагивающую непосредственно платформу Electron, которая позволяет обойти ограничение доступа к API Node.js (nodeIntegration: false), что может применяться для организации выполнения кода в контексте операционной системы, если у злоумышленника имеется возможность выполнить JavaScript в контексте приложения.

Суть уязвимости в том, что если разработчик приложения явно не указал в параметрах конфигурации файла webPreferences "webviewTag: false", при выполнении JavaScript можно воспользоваться доступным API Electron для создания окна с новым компонентом WebView, настройки которого уже контролируются атакующим и для этого окна можно выставить режим "nodeIngration: true". Проблема устранена до раскрытиия информации об уязвимости в мартовском обновлении платформы Electron.

Так же можно упомянуть о выявлении вредоносного ПО, нацеленного на проведение атаки на десктоп-приложение Telegram на платформе Windows. Вредоносное ПО собирает остаточные данные из кэша приложения, который может включать информацию о сеансах, контактах и предыдущих чатах. Также вредоносное ПО осуществляет поиск и передачу map-файлов, в которых хранятся ключи шифрования (защищены паролем и зашифрованы AES, вероятно для получения пароля может применяться отдельное вредоносное ПО с кейлоггером). Вредоносное ПО атакует только десктоп-редакцию Telegram, так как она не поддерживает секретные чаты и включает небезопасные настройки по умолчанию.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Релиз Electron 2.0.0, платформы создания приложений на базе движка Chromium
  3. OpenNews: Уязвимость в приложениях на базе платформы Electron
  4. OpenNews: Представлен метод атаки на групповой чат WhatsApp и Signal
  5. OpenNews: Опубликован Signal Desktop, вариант мессенджера для настольных систем
  6. OpenNews: Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщения
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48616-signal
Ключевые слова: signal, xss, javascript
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 13:21, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    А почему на сайте нет новостей про обновления telegram? Про opera и chrome же есть. https://github.com/telegramdesktop/tdesktop/blob/dev/changelog.txt
    https://github.com/telegramdesktop/tdesktop
     
     
  • 2.5, L29Ah (ok), 13:28, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    К слову, в https://github.com/DrKLO/Telegram последний коммит полгода назад, в то время как в аппсторе уже штук десять версий успели наклепать.
     
     
  • 3.38, Аноним (-), 18:42, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем тебе новые исходники? Качай бинарники.
     
  • 2.14, НяшМяш (ok), 15:18, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это релизные версии? Нет. Тогда нафига про них новости писать?
     
     
  • 3.18, Аноним (-), 15:33, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Будьте внимательней
    https://github.com/telegramdesktop/tdesktop/blob/dev/changelog.txt
     
     
  • 4.48, Аноним (-), 21:33, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Будьте внимательней
    > https://github.com/telegramdesktop/tdesktop/blob/dev/changelog.txt

    Что вы все везде пихаете свой говенный Телеграм????

     
     
  • 5.50, Аноним (-), 22:27, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Потому что Дуров он как Маск и Джобс вместе взятые!
     
  • 5.64, Аноним (-), 02:12, 20/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А есть что-то лучше, удобнее и функциональнее его? Вот и молчи.
     
  • 4.56, НяшМяш (ok), 01:07, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1.2.20 alpha (13.05.18)
    > 1.2.19 alpha (08.05.18)
    > 1.2.18 alpha (05.05.18)

    То ли я тупой, то ли там чёрным по белому написано про альфа версии, а релизная как была 1.2.17, так и осталась.

     
  • 2.23, Аноним (-), 16:12, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Серверная часть кода закрыиа вроде же
     
     
  • 3.39, Аноним (-), 18:48, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
     
     
  • 4.44, Аноним (-), 20:38, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.

    Какая разница. Пашке, ФСБ, АНБ, кому там ещё? В общем мы все умрём. У меня всё.

     
     
  • 5.49, Аноним (-), 21:34, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
    > Какая разница. Пашке, ФСБ, АНБ, кому там ещё? В общем мы все
    > умрём. У меня всё.

    Место на кладбище застолбил?

     
     
  • 6.51, Аноним (-), 22:28, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Место на кладбище застолбил?

    Глупый вопрос. Если умрут все, то зачем нужны кладбища?

     
     
  • 7.52, Аноним (-), 23:19, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Глупый вопрос. Если умрут все, то зачем нужны кладбища?

    Как зачем? Есть идея сделать налог на смерть. Чтобы место на кладбище досрочно оплачивалось.

     
     
  • 8.55, Аноним (-), 00:42, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В России по закону место на кладбище давно уже предоставляется бесплатно Как и ... текст свёрнут, показать
     
     
  • 9.60, ага (?), 07:36, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ничего, борьба с пережитками тоталитарного прошлого в государстве ведется день и... текст свёрнут, показать
     
  • 8.59, Аноним (-), 06:00, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Умрут все разом, никому ничего не нужно будет оплачивать ... текст свёрнут, показать
     

  • 1.3, Аноним (-), 13:22, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах сами-знаете-чего.
     
     
  • 2.9, Наймнейм (?), 14:07, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Прямой альтернативой электрону является вкладка в нормальном браузере, даже такой способ будет безопаснее, как оказалось.
     
     
  • 3.40, Аноним (-), 19:17, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Справедливости ради, в поделии Дурова невозможно ни зарегистрироваться, ни зайти в приватную конфу через веб-клиент, не устанавливая хендлеров для псевдопротокола tg:// в браузере.
     
  • 3.62, Аноним (-), 19:44, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно безопастнее. Браузер очень сильно ограничевает возможности javascript и даже те ограниченные функции которые есть могут или потребовать подтверждение пользователя или откажутся выполнатся, а сам браузер имеет многоуровневую защиту.
    А через node.js можно всё что угодно делать без ограничений.
     
  • 2.10, Аноним (-), 14:14, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах
    > сами-знаете-чего.

    Поклоник Гарри Потера? Сами знаете чего и кого.. Что за загадки

     
     
  • 3.16, Диносуслик (?), 15:31, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    MFC наверняка
     
  • 2.11, Andrey Mitrofanov (?), 14:33, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах
    > сами-знаете-чего.

    Ээээ, ч-чо??

    ERC + bitlbee + telegram-purple?

     
     
  • 3.53, Аноним (-), 23:21, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ERC + bitlbee + telegram-purple?

    Мсье знает толк. Что, уже научил эггдропов слать телеграммы?

     

  • 1.7, Аноним (-), 13:50, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    так, что там у нас, еще пара CVE в рекомендуемом всеми секьюрити-экспертами Signal? Да ладно, наверно просто совпадение. Не может же быть такого, что половина этих экспертов сидит на зарплате у фейсбука, NSA и черт знает кого еще, и специально продвигает дырявый г*ософт? Еще и на электроне, лол.
     
  • 1.8, Аноним (-), 14:00, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    wire и matrix наше всё
     
     
  • 2.12, Аноним (-), 14:40, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Wire не на Electron?
     
     
  • 3.20, Аноним (-), 15:39, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Wire работает через браузер.
     
     
  • 4.45, ivan (??), 20:55, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы не правы. Wire как раз на електроне и работает.
    Читайте внимательно на их офф странице на гитхабе:

    Cross platform desktop app, wrapping the wire-webapp. Based on Electron.

    https://github.com/wireapp/wire-desktop

     
     
  • 5.57, Найнаним (?), 01:36, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Знал, что wire редиски.
    Общаешься с ними - а они как заряженные, низкоквалифицированные продавцы ширпотреба, на "витрине" все ок, а по существу(зачем, например, вам сервак), либо виляют, либо отмораживаются.
     
     
  • 6.65, анон234234234324329420 (?), 00:41, 22/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уважаемый "Найнаним" прежде чем писать свои гневные комментарии в сторону Wire мессенджера и обвинять в том что они редиски. Вы бы хотя бы изучили ситуацию вокруг этого бага и узнали бы что настольный клиент не подвергся этой атаке, что впрочем нельзя сказать о Signal.

    вот почитайте:
    https://github.com/wireapp/wire-desktop/issues/1467

     
  • 5.61, Аноним (-), 09:05, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем ставить клиенты на ПК если есть веб версия?
     
  • 4.47, Аноним (-), 21:29, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/

    Signal работает как дополнение к Iron
     
  • 3.63, Ilya Indigo (ok), 19:56, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И ещё, к тому же, судя по блокировки сайта в Крыму, он под крылом Гугл, хотя это явно нигде не упоминается.
     

  • 1.13, Всем Сосать (ok), 15:14, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Месcенджер, JS, Node.js,...., сцyka, через пару лет,
    чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.
     
     
  • 2.21, Anonim (??), 16:03, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Месcенджер, JS, Node.js,...., сцyka, через пару лет,
    > чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.

    Зато спама не будет

     
     
  • 3.54, Аноним (-), 23:22, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зато спама не будет

    В дрвенем IRC спама сильно меньше чем в этих ваших социалочках и проч.

     

  • 1.15, НяшМяш (ok), 15:20, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну а что они ожидали. Запилили клиент на веб-вью - значит поимели все сопутствующие недостатки и уязвимости.
     
     
  • 2.24, Аноне (?), 16:14, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это видимо поколение тех, кто с детства играл в LEGO. Собрать квадратно-гнездовым способом и хвалиться, что это быстрее, красивее и надежнее, вот только за ядро и составляющие не отвечают.
     

  • 1.28, Аноним (-), 17:17, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно. Телеграм для десктопа не поддерживает секретные чаты, а тот же telegram-purple поддерживает. Неужто разработчики телеграма не осилили свой же протокол?
     
     
  • 2.43, Паша (??), 19:56, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то поддерживает секретные чаты :)
     
  • 2.46, Аноним (-), 21:27, 17/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Интересно. Телеграм для десктопа не поддерживает секретные чаты, а тот же telegram-purple
    > поддерживает. Неужто разработчики телеграма не осилили свой же протокол?

    Тема про Signal

     
     
  • 3.58, Аноним (-), 05:16, 18/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Свидетели телеграма, они такие
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру