Support us

В Signal нашли уязвимость, которая позволяет получить доступ к кэшу удаленных вложений

Десктопная версия Signal 6.2.0 и более ранние версии для Windows, Linux и macOS оказалась подвержена уязвимостям.

Оставить комментарий
В Signal нашли уязвимость, которая позволяет получить доступ к кэшу удаленных вложений

Десктопная версия Signal 6.2.0 и более ранние версии для Windows, Linux и macOS оказалась подвержена уязвимостям.

Речь идет об уязвимостях CVE-2023–24068 и CVE-2023–24069. Они могут позволить злоумышленнику получить конфиденциальные вложения, отправленные в сообщениях, а также подменить их. Сервис хранит вложения в каталоге ~\attachments.noindex в незашифрованном виде. Они автоматически удаляются из каталога, если пользователь удаляет их из чата.

В случае, если собеседник ответил на сообщение с вложением, то вложение продолжает храниться в локальной папке в открытом виде даже после удаления в интерфейсе мессенджера. «Злоумышленнику, который может получить доступ к этим файлам, даже не нужно будет расшифровывать их, и нет регулярного процесса очистки кэша, поэтому неудалённые файлы просто находятся в незашифрованном виде в этой папке», — заявил исследователь Джон Джексон.

Злоумышленник может подменить хранящийся в кэше файл. Он не заменится автоматически у собеседников, но при пересылке существующей ветки в другие чаты хакер может вложить подмененные файлы вместо исходных. Исследователь сделал вывод, что Signal Desktop не проверяет изменения в кэшированных ранее файлах.

Хакеры начали использовать ChatGPT для создания вирусов
Хакеры начали использовать ChatGPT для создания вирусов
По теме
Хакеры начали использовать ChatGPT для создания вирусов
Утечка в Signal — в сеть «убежали»‎ 1900 номеров пользователей
Утечка в Signal — в сеть «убежали»‎ 1900 номеров пользователей
По теме
Утечка в Signal — в сеть «убежали»‎ 1900 номеров пользователей
В Telegram появится автоудаление кэша и скрытие участников групп
В Telegram появится автоудаление кэша и скрытие участников групп
По теме
В Telegram появится автоудаление кэша и скрытие участников групп
Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Signal назначил президентом организаторшу протестов в Google
Signal назначил президентом организаторшу протестов в Google
Signal назначил президентом организаторшу протестов в Google
3 комментария
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
2 комментария
«Сбер» попросил сотрудников удалить Telegram с рабочих гаджетов
«Сбер» попросил сотрудников удалить Telegram с рабочих гаджетов
«Сбер» попросил сотрудников удалить Telegram с рабочих гаджетов
1 комментарий
Apple взялась за расшифровку голосовых сообщений в Telegram
Apple взялась за расшифровку голосовых сообщений в Telegram
Apple взялась за расшифровку голосовых сообщений в Telegram
1 комментарий

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.