Vulnerabilità: CVE-2018-11101


Aprire Whisper segnale (aka Signal-Desktop) attraverso 1.10.1 permette XSS tramite un percorso risorsa specificata in un attributo di uno script, IFRAME, o elemento IMG, causando l’esecuzione di JavaScript, dopo una risposta, una vulnerabilità diverso da quello CVE-2.018-10.994 . L’attaccante ha bisogno di inviare il codice HTML direttamente come messaggio, e poi rispondere a quel messaggio per attivare questa vulnerabilità. Il software Signal-Desktop non riesce a elementi specifici HTML Disinfettare che possono essere utilizzate per iniettare codice HTML nelle finestre di chat remoti quando si risponde a un messaggio HTML. Specificamente gli elementi IMG e IFRAME possono essere usate per includere remoti o locali risorse. Ad esempio, l’uso di un elemento IFRAME consente l’esecuzione di codice completo, che permette ad un attaccante di file download / upload, informazioni, ecc elemento lo script è stato anche trovato per essere iniettabile. Sul sistema operativo Windows, il CSP non riesce a impedire l’inclusione remota delle risorse tramite il protocollo SMB. In questo caso, l’esecuzione remota di JavaScript può essere ottenuta facendo riferimento script in una condivisione SMB in un elemento IFRAME, per esempio: <IFRAME src = \\ DESKTOP-XXXXX \ Temp \ test.html> e poi rispondendo ad esso. Il codice JavaScript inserito viene eseguito automaticamente, senza alcuna interazione necessaria da parte dell’utente. La vulnerabilità può essere attivato nel client Signal-Desktop inviando un messaggio appositamente predisposto e poi rispondendo ad essa con qualsiasi testo o il contenuto nella risposta (non importa).
http://seclists.org/fulldisclosure/2018/May/46
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11101

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi