Signal : nouvelle faille pour la version Desktop, le correctif déjà disponible

Sale période pour Signal Desktop. Après déjà deux failles corrigées, l'une sous macOS, l'autre pour Linux et Windows, une troisième apparaît, semblable à la précédente.

Les conditions d'exploitation sont les mêmes : en envoyant un code HTML/JavaScript déguisé en message. Il s'agit donc d'une injection de code malveillant, qui se déclenche dès que le pirate cite ou répond au message qu'il a lui-même envoyé. Le risque est total, puisque Signal va exécuter le code sans interaction de la victime. Le pirate est alors en position d'exfiltrer des messages en clair.

La vulnérabilité a été trouvée par les mêmes chercheurs que pour la précédente. Elle a encore une fois été signalée confidentiellement et la mise à jour corrective de Signal est déjà disponible. Elle est récupérée automatiquement et demande simplement de redémarrer l'application une fois appliquée.

Comme les deux autres soucis de sécurité, on ne trouve cependant aucune communication des développeurs, ni sur leur blog officiel, ni sur le compte Twitter.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !