В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены (http://seclists.org/fulldisclosure/2018/May/46) две уязвимости (CVE-2018-10994 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../), CVE-2018-11101 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../)), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0 (https://github.com/signalapp/Signal-Desktop/releases/tag/v1....), мобильные приложения проблемам не подвержены.
Первая уязвимость (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../) позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки "http://hacktheplanet/?p=%3Ciframe%20src="/etc... приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали (https://github.com/signalapp/Signal-Desktop/releases/tag/v1....) обновление с устранением (https://github.com/signalapp/Signal-Desktop/commit/bfbd84f5d...) проблем спустя всего 2 часа после уведомления о наличии уязвимостей.
Скоро выяснилось, что существует (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injec.../) ещё один метод проведения атаки XSS, реализуемый через подстановку в сообщения HTML-тегов iframe, ссылающегося на внешний ресурс. Выполнение HTML-кода производится не при приёме и открытии, а при попытке ответа на такие сообщения. В итоге был подготовлен прототип эксплоита на JavaScript, который отправляет на внешний сервер содержимое всех переписок, которые производятся в приложении. Второй метод атаки из-за ограничений CSP допускает только включение локальных файлов, для обхода CSP в ходе демонстрационной атаки начальный кода скрипта был замещён на SMB-разделе.
Дополнительно можно отметить уязвимость (https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018.../) CVE-2018-1000136, затрагивающую непосредственно платформу
Electron, которая позволяет обойти ограничение доступа к API Node.js (nodeIntegration: false), что может применяться для организации выполнения кода в контексте операционной системы, если у злоумышленника имеется возможность выполнить JavaScript в контексте приложения.
Суть уязвимости в том, что если разработчик приложения явно не указал в параметрах конфигурации файла webPreferences "webviewTag: false", при выполнении JavaScript можно воспользоваться доступным API Electron для создания окна с новым компонентом WebView, настройки которого уже контролируются атакующим и для этого окна можно выставить режим "nodeIngration: true". Проблема устранена до раскрытии информации об уязвимости в мартовском обновлении платформы Electron.
Так же можно упомянуть о выявлении (https://blog.talosintelligence.com/2018/05/telegrab.html) вредоносного ПО, нацеленного на проведение атаки на десктоп-приложение Telegram (https://github.com/telegramdesktop/tdesktop/) на платформе Windows.
Вредоносное ПО собирает остаточные данные из кэша приложения, который может включать информацию о сеансах, контактах и предыдущих чатах. Также вредоносное ПО осуществляет поиск и передачу map-файлов, в которых хранятся ключи шифрования (защищены паролем и зашифрованы AES, вероятно для получения пароля может применяться отдельное вредоносное ПО с кейлоггером). Вредоносное ПО атакует только десктоп-редакцию Telegram, так как она не поддерживает секретные чаты и включает небезопасные настройки по умолчанию.
URL: http://seclists.org/fulldisclosure/2018/May/46
Новость: https://www.opennet.ru/opennews/art.shtml?num=48616
