Los investigadores de seguridad han descubierto una vulnerabilidad grave en la popular aplicación de mensajería de señal cifrada de extremo a extremo para escritorios Windows y Linux que podría permitir a los atacantes remotos ejecutar código malicioso en el sistema de destinatarios simplemente enviando un mensaje, sin requerir ninguna interacción del usuario.
Descubierta por Alfredo Ortega, un consultor de seguridad de software de Argentina, la vulnerabilidad se anunció en Twitter hace unas horas con un video de prueba de concepto, que demuestra cómo una carga de JavaScript enviada a través de la aplicación Signal for Desktop se ejecutó exitosamente en el sistema del destinatario.
Aunque los detalles técnicos de la vulnerabilidad no se han revelado hasta ahora, el problema parece ser una vulnerabilidad de ejecución remota de código en Signal o al menos algo muy cercano a la persistencia de cross-site scripting (XSS) que eventualmente podría permitir a los atacantes inyectar código malicioso. en sistemas Windows y Linux específicos.
«Por el momento, solo podemos confirmar la ejecución del código JavaScript. Sin embargo, estamos rastreando un problema de corrupción del montón, y es muy probable que la ejecución de JavaScript pueda llevar a la ejecución del código nativo con investigación adicional». Ortega le dijo a The Hacker News.
Ortega también nos confirma que la explotación de este problema requiere encadenar un par de vulnerabilidades encontradas por otros dos investigadores de seguridad de Argentina, Ivan y Juliano.
«Puedo confirmar que este error no existía antes y que fue introducido por última vez porque los desarrolladores se olvidaron de por qué había una expresión regular allí para comenzar. Me gustaría recomendar un comentario a este comentario si no se repite de nuevo (TBD)». Ivan dijo .
En este momento, no está claro si la vulnerabilidad principal u otros errores encadenados residen solo en el código fuente de Signal o también en el popular marco de aplicación web Electron , la tecnología en la que se basan las aplicaciones de escritorio de Signal.
Si la falla reside en el marco de trabajo de Electron, también podría afectar otras aplicaciones de escritorio ampliamente utilizadas, como Skype, WordPress y Slack, que también usan el mismo marco.
Además, la comunidad infosec también está preocupada de que si esta falla permite a los atacantes remotos robar sus claves secretas de cifrado, sería la peor pesadilla para los usuarios de Signal.
La buena noticia es que Open Whisper Systems ya ha abordado el problema e inmediatamente lanzó nuevas versiones de la aplicación Signal en unas pocas horas después de recibir la revelación de vulnerabilidad responsable por parte del investigador.
La vulnerabilidad principal que desencadena la ejecución del código se ha parchado en la versión estable de Signal 1.10.1 y en la versión preliminar 1.11.0-beta.3 . Por lo tanto, se recomienda a los usuarios que actualicen su señal para aplicaciones de escritorio lo antes posible.
«En este momento no estamos seguros de que todas [las vulnerabilidades encadenadas juntas] hayan sido reparadas», dijo Ortega a The Hacker News.
La última versión también parchó una vulnerabilidad recientemente divulgada en Signal para aplicaciones de escritorio que exponía la desaparición de mensajes en una base de datos legible por el usuario del Centro de notificaciones de macOS, incluso si se eliminan de la aplicación.
Fuente: Thehackernews.com