The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в Signal Desktop и в платформе Electron"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от opennews (??) on 17-Май-18, 13:20 
В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены (http://seclists.org/fulldisclosure/2018/May/46) две уязвимости (CVE-2018-10994 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../), CVE-2018-11101 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../)), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0 (https://github.com/signalapp/Signal-Desktop/releases/tag/v1....), мобильные приложения проблемам не подвержены.


Первая уязвимость (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../) позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки "http://hacktheplanet/?p=%3Ciframe%20src="/etc... приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали (https://github.com/signalapp/Signal-Desktop/releases/tag/v1....) обновление с устранением (https://github.com/signalapp/Signal-Desktop/commit/bfbd84f5d...) проблем спустя всего 2 часа после уведомления о наличии уязвимостей.


Скоро выяснилось, что существует (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../) ещё один метод проведения атаки XSS, реализуемый через подстановку в сообщения HTML-тегов iframe, ссылающегося на внешний ресурс. Выполнение HTML-кода производится не при приёме и открытии, а при попытке ответа на такие сообщения. В итоге был подготовлен прототип эксплоита на JavaScript, который отправляет на внешний сервер содержимое всех переписок, которые производятся в приложении. Второй метод атаки из-за ограничений CSP допускает только включение локальных файлов, для обхода CSP в ходе демонстрационной атаки начальный кода скрипта был замещён на SMB-разделе.


Дополнительно можно отметить уязвимость (https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018.../) CVE-2018-1000136, затрагивающую непосредственно платформу
Electron, которая позволяет обойти ограничение доступа к API Node.js (nodeIntegration: false), что может применяться для организации выполнения кода в контексте операционной системы, если у злоумышленника имеется возможность выполнить JavaScript в контексте приложения.


Суть уязвимости в том, что если разработчик приложения явно не указал в параметрах конфигурации файла webPreferences "webviewTag: false", при выполнении JavaScript можно воспользоваться доступным API Electron для создания окна с новым компонентом WebView, настройки которого уже контролируются атакующим и для этого окна можно выставить режим "nodeIngration: true". Проблема устранена до раскрытии информации об уязвимости в мартовском обновлении платформы Electron.

Так же можно упомянуть о выявлении (https://blog.talosintelligence.com/2018/05/telegrab.html) вредоносного ПО, нацеленного на проведение атаки на десктоп-приложение Telegram (https://github.com/telegramdesktop/tdesktop/) на платформе Windows.
Вредоносное ПО собирает остаточные данные из кэша приложения, который может включать информацию о сеансах, контактах и предыдущих чатах. Также вредоносное ПО осуществляет поиск и передачу map-файлов, в которых хранятся ключи шифрования (защищены паролем и зашифрованы AES, вероятно для получения пароля может применяться отдельное вредоносное ПО с кейлоггером). Вредоносное ПО атакует только десктоп-редакцию Telegram, так как она не поддерживает секретные чаты и включает небезопасные настройки по умолчанию.


URL: http://seclists.org/fulldisclosure/2018/May/46
Новость: https://www.opennet.me/opennews/art.shtml?num=48616

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимости в Signal Desktop и в платформе Electron"  –8 +/
Сообщение от Аноним (??) on 17-Май-18, 13:21 
А почему на сайте нет новостей про обновления telegram? Про opera и chrome же есть. https://github.com/telegramdesktop/tdesktop/blob/dev/changel...
https://github.com/telegramdesktop/tdesktop
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимости в Signal Desktop и в платформе Electron"  +10 +/
Сообщение от L29Ah (ok) on 17-Май-18, 13:28 
К слову, в https://github.com/DrKLO/Telegram последний коммит полгода назад, в то время как в аппсторе уже штук десять версий успели наклепать.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

38. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 17-Май-18, 18:42 
Зачем тебе новые исходники? Качай бинарники.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от НяшМяш (ok) on 17-Май-18, 15:18 
Это релизные версии? Нет. Тогда нафига про них новости писать?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Уязвимости в Signal Desktop и в платформе Electron"  +2 +/
Сообщение от Аноним (??) on 17-Май-18, 15:33 
Будьте внимательней
https://github.com/telegramdesktop/tdesktop/blob/dev/changel...
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

48. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 17-Май-18, 21:33 
> Будьте внимательней
> https://github.com/telegramdesktop/tdesktop/blob/dev/changel...

Что вы все везде пихаете свой говенный Телеграм????

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

50. "Уязвимости в Signal Desktop и в платформе Electron"  +3 +/
Сообщение от Аноним (??) on 17-Май-18, 22:27 
Потому что Дуров он как Маск и Джобс вместе взятые!
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

64. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 20-Май-18, 02:12 
А есть что-то лучше, удобнее и функциональнее его? Вот и молчи.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от НяшМяш (ok) on 18-Май-18, 01:07 
> 1.2.20 alpha (13.05.18)
> 1.2.19 alpha (08.05.18)
> 1.2.18 alpha (05.05.18)

То ли я тупой, то ли там чёрным по белому написано про альфа версии, а релизная как была 1.2.17, так и осталась.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 17-Май-18, 16:12 
Серверная часть кода закрыиа вроде же
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

39. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от Аноним (??) on 17-Май-18, 18:48 
Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

44. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от Аноним (??) on 17-Май-18, 20:38 
> Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.

Какая разница. Пашке, ФСБ, АНБ, кому там ещё? В общем мы все умрём. У меня всё.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от Аноним (??) on 17-Май-18, 21:34 
>> Чтоб вдруг что свои сервера не делали, а сливали все данные Пашке.
> Какая разница. Пашке, ФСБ, АНБ, кому там ещё? В общем мы все
> умрём. У меня всё.

Место на кладбище застолбил?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

51. "Уязвимости в Signal Desktop и в платформе Electron"  +2 +/
Сообщение от Аноним (??) on 17-Май-18, 22:28 
> Место на кладбище застолбил?

Глупый вопрос. Если умрут все, то зачем нужны кладбища?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 17-Май-18, 23:19 
> Глупый вопрос. Если умрут все, то зачем нужны кладбища?

Как зачем? Есть идея сделать налог на смерть. Чтобы место на кладбище досрочно оплачивалось.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

55. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 18-Май-18, 00:42 
В России по закону место на кладбище давно уже предоставляется бесплатно. Как и перевозка тела из морга, бюджетный гроб, земляные работы и табличка с именем.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "Уязвимости в Signal Desktop и в платформе Electron"  +2 +/
Сообщение от ага on 18-Май-18, 07:36 
ничего, борьба с пережитками тоталитарного прошлого в государстве ведется день и ночь, и недалек тот день, когда умирать без уплаты пошлины будет запрещено, иначе штраф.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

59. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 18-Май-18, 06:00 
> Чтобы место на кладбище
> досрочно оплачивалось.

Умрут все разом, никому ничего не нужно будет оплачивать.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

3. "Уязвимости в Signal Desktop и в платформе Electron"  +11 +/
Сообщение от Аноним (??) on 17-Май-18, 13:22 
Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах сами-знаете-чего.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимости в Signal Desktop и в платформе Electron"  +2 +/
Сообщение от Наймнейм on 17-Май-18, 14:07 
Прямой альтернативой электрону является вкладка в нормальном браузере, даже такой способ будет безопаснее, как оказалось.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

40. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 17-Май-18, 19:17 
Справедливости ради, в поделии Дурова невозможно ни зарегистрироваться, ни зайти в приватную конфу через веб-клиент, не устанавливая хендлеров для псевдопротокола tg:// в браузере.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

62. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от Аноним (??) on 18-Май-18, 19:44 
Конечно безопастнее. Браузер очень сильно ограничевает возможности javascript и даже те ограниченные функции которые есть могут или потребовать подтверждение пользователя или откажутся выполнатся, а сам браузер имеет многоуровневую защиту.
А через node.js можно всё что угодно делать без ограничений.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Уязвимости в Signal Desktop и в платформе Electron"  +5 +/
Сообщение от Аноним (??) on 17-Май-18, 14:14 
> Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах
> сами-знаете-чего.

Поклоник Гарри Потера? Сами знаете чего и кого.. Что за загадки

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Диносуслик on 17-Май-18, 15:31 
MFC наверняка
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Andrey Mitrofanov on 17-Май-18, 14:33 
> Правильно, электрон с вытекающими, лучше использовать адекватный десктоп-клиент на плюсах
> сами-знаете-чего.

Ээээ, ч-чо??

ERC + bitlbee + telegram-purple?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

53. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 17-Май-18, 23:21 
> ERC + bitlbee + telegram-purple?

Мсье знает толк. Что, уже научил эггдропов слать телеграммы?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

7. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от Аноним (??) on 17-Май-18, 13:50 
так, что там у нас, еще пара CVE в рекомендуемом всеми секьюрити-экспертами Signal? Да ладно, наверно просто совпадение. Не может же быть такого, что половина этих экспертов сидит на зарплате у фейсбука, NSA и черт знает кого еще, и специально продвигает дырявый г*ософт? Еще и на электроне, лол.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимости в Signal Desktop и в платформе Electron"  –2 +/
Сообщение от Аноним (??) on 17-Май-18, 14:00 
wire и matrix наше всё
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимости в Signal Desktop и в платформе Electron"  +2 +/
Сообщение от Аноним (??) on 17-Май-18, 14:40 
Wire не на Electron?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 17-Май-18, 15:39 
Wire работает через браузер.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

45. "Уязвимости в Signal Desktop и в платформе Electron"  +3 +/
Сообщение от ivan (??) on 17-Май-18, 20:55 
Вы не правы. Wire как раз на електроне и работает.
Читайте внимательно на их офф странице на гитхабе:

Cross platform desktop app, wrapping the wire-webapp. Based on Electron.

https://github.com/wireapp/wire-desktop

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

57. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Найнаним on 18-Май-18, 01:36 
Знал, что wire редиски.
Общаешься с ними - а они как заряженные, низкоквалифицированные продавцы ширпотреба, на "витрине" все ок, а по существу(зачем, например, вам сервак), либо виляют, либо отмораживаются.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

65. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от анон234234234324329420 on 22-Май-18, 00:41 
Уважаемый "Найнаним" прежде чем писать свои гневные комментарии в сторону Wire мессенджера и обвинять в том что они редиски. Вы бы хотя бы изучили ситуацию вокруг этого бага и узнали бы что настольный клиент не подвергся этой атаке, что впрочем нельзя сказать о Signal.

вот почитайте:
https://github.com/wireapp/wire-desktop/issues/1467

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

61. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 18-Май-18, 09:05 
Зачем ставить клиенты на ПК если есть веб версия?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

47. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Аноним (??) on 17-Май-18, 21:29 

Signal работает как дополнение к Iron
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

63. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Ilya Indigo (ok) on 18-Май-18, 19:56 
И ещё, к тому же, судя по блокировки сайта в Крыму, он под крылом Гугл, хотя это явно нигде не упоминается.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Уязвимости в Signal Desktop и в платформе Electron"  +14 +/
Сообщение от Всем Сосать (ok) on 17-Май-18, 15:14 
Месcенджер, JS, Node.js,...., сцyka, через пару лет,
чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Anonim (??) on 17-Май-18, 16:03 
> Месcенджер, JS, Node.js,...., сцyka, через пару лет,
> чтоб отправить "Приветкагдела" придётся держать свой атомный реактор.

Зато спама не будет

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

54. "Уязвимости в Signal Desktop и в платформе Electron"  +1 +/
Сообщение от Аноним (??) on 17-Май-18, 23:22 
> Зато спама не будет

В дрвенем IRC спама сильно меньше чем в этих ваших социалочках и проч.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

15. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от НяшМяш (ok) on 17-Май-18, 15:20 
Ну а что они ожидали. Запилили клиент на веб-вью - значит поимели все сопутствующие недостатки и уязвимости.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Уязвимости в Signal Desktop и в платформе Electron"  +4 +/
Сообщение от Аноне on 17-Май-18, 16:14 
Это видимо поколение тех, кто с детства играл в LEGO. Собрать квадратно-гнездовым способом и хвалиться, что это быстрее, красивее и надежнее, вот только за ядро и составляющие не отвечают.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 17-Май-18, 17:17 
Интересно. Телеграм для десктопа не поддерживает секретные чаты, а тот же telegram-purple поддерживает. Неужто разработчики телеграма не осилили свой же протокол?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Уязвимости в Signal Desktop и в платформе Electron"  +/
Сообщение от Паша (??) on 17-Май-18, 19:56 
Вообще-то поддерживает секретные чаты :)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

46. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 17-Май-18, 21:27 
> Интересно. Телеграм для десктопа не поддерживает секретные чаты, а тот же telegram-purple
> поддерживает. Неужто разработчики телеграма не осилили свой же протокол?

Тема про Signal

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

58. "Уязвимости в Signal Desktop и в платформе Electron"  –1 +/
Сообщение от Аноним (??) on 18-Май-18, 05:16 
Свидетели телеграма, они такие
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру