شناسایی یک آسیب‌پذیری حیاتی در پیام‌رسان سیگنال نسخه‌ی رومیزی ویندوز و لینوکس

 

محققان امنیتی یک آسیب‌پذیری حیاتی را در پیام‌رسان سیگنال کشف کردند. گفته می‌شد این پیام‌رسان از امنیت بالایی برخوردار بوده و پیام‌ها را به‌صورت انتها به انتها رمزنگاری می‌کند. این آسیب‌پذیری نرم‌افزارهای رومیزی در ویندوز و لینوکس را تحت تاثیر قرار داده و مهاجم می‌تواند تنها با ارسال یک پیام و بدون نیاز به هیچ‌گونه تعاملی با کاربر، کدهای مخرب خود را اجرایی کند.


این آسیب‌پذیری بر روی توییتر اعلام شد و چند ساعت بعد نیز یک ویدئوی اثبات مفهومی برای آن منتشر شد که نشان می‌داد چگونه یک بار داده‌ی جاوا اسکریپت که با سیگنال ارسال شده، بر روی سیستم آسیب‌پذیر اجرا می‌شود. هرچند هنوز اطلاعات فنی در مورد این آسیب‌پذیری منتشر نشده ولی به نظر می‌رسد نوعی آسیب‌پذیری اجرای کد از راه دور و یا XSS مانا باشد که به مهاجم اجازه می‌دهد تا کدهای مخرب خود را بر روی سیستم‌های ویندوز و لینوکس اجرا کند.


محقق امنیتی که این آسیب‌پذیری را کشف کرده، تایید کرده که برای بهره‌برداری به زنجیره‌ای از آسیب‌پذیری‌ها نیاز است و در این روند از ۲ آسیب‌پذیری دیگری که همکاران او شناسایی کرده‌اند بهره‌برداری شده است. هنوز به‌طور قطعی مشخص نیست که این آسیب‌پذیری اصلی و اشکالات فرعی در کد منبع پیام‌رسان سیگنال وجود دارد و یا اینکه در چارچوب توسعه‌ی برنامه‌های وب الکترون اشکالاتی وجود دارد. چارچوب الکترون فناوری است که نسخه‌ی دسکتاپ سیگنال مبتنی بر آن است.


اگر این آسیب‌پذیری در چارچوب الکترون باشد، سایر برنامه‌هایی که مبتنی بر این فناوری هستند مانند اسکایپ، وردپرس و اسلک نیز تحت تاثیر این آسیب‌پذیری‌ها قرار گرفته‌اند. انجمن امنیتی از این مسأله نگران است که این بهره‌برداری منجر به سقت کلیدهای رمزنگاری کاربران پیام‌رسان سیگنال شود و این موضوع می‌تواند به کابوس بزرگی تبدیل شود. 


خبر اخوب این است که پس از گزارش مسئولانه‌ی این آسیب‌پذیری توسط محقق امنیتی، این اشکال برطرف شده و نسخه‌ی جدیدی از پیام‌رسان سیگنال منتشر شده است. آسیب‌پذیری اصلی در نسخه‌ی پایدار ۱٫۱۰٫۱ و نسخه‌ی بتای ۱٫۱۱٫۰-beta.3 وصله شده است. بنابراین به کاربران سیگنال رومیزی توصیه می‌شود تا هرچه سریع‌تر برنامه‌های خود را به‌روزرسانی کنند. 
 

منبع

پست‌های مشابه

Leave a Comment