Sale période pour Signal Desktop. Après déjà deux failles corrigées, l'une sous macOS, l'autre pour Linux et Windows, une troisième apparaît, semblable à la précédente.
Les conditions d'exploitation sont les mêmes : en envoyant un code HTML/JavaScript déguisé en message. Il s'agit donc d'une injection de code malveillant, qui se déclenche dès que le pirate cite ou répond au message qu'il a lui-même envoyé. Le risque est total, puisque Signal va exécuter le code sans interaction de la victime. Le pirate est alors en position d'exfiltrer des messages en clair.
La vulnérabilité a été trouvée par les mêmes chercheurs que pour la précédente. Elle a encore une fois été signalée confidentiellement et la mise à jour corrective de Signal est déjà disponible. Elle est récupérée automatiquement et demande simplement de redémarrer l'application une fois appliquée.
Comme les deux autres soucis de sécurité, on ne trouve cependant aucune communication des développeurs, ni sur leur blog officiel, ni sur le compte Twitter.
Commentaires (5)
#1
Comme les deux autres soucis de sécurité, on ne trouve cependant aucune communication des développeurs, ni sur leur blog officiel, ni sur le compte Twitter.
pas étonnant, c’est des grosses quiches en com’. ^^
#2
Vous ne pourriez pas parler plutôt de “Application Signal” ? A chaque fois que je lis ce genre de titre, ça me fait penser à mon dentifrice.
" />
#3
t’as souvent entendu parler de dentifrice sur NXI?
" />
#4
#5
ok je m’incline. ^^