安全修复将电线推下
电线安全消息应用程序的维护人员已将软件与两个安全漏洞进行了修补,其中一个可以使攻击者“完全控制”用户帐户。
电线位于美国,瑞典和瑞士的办事处,是免费的,开源为企业客户提供商业选项的安全消息传递平台。
在审查了平台后,独立安全研究人员凯恩·赌博(Kane Gamble)发现了两个影响Web和iOS版本的漏洞。beplay体育能用吗
电线,轻拍
Wire Web App版本中存在的第一个缺陷2021-05-1beplay体育能用吗0及更早的是跨站脚本(XSS)涉及的问题CreateObjectUrl图像处理程序。
跟踪为CVE-2021-32683当用户打开被恶意代码提取的图像打开图像时,可以实现XSS。除了实际图片外,图像的恶意有效载荷还在app.wire.com上执行。
成功的剥削将使攻击者成为妥协的电线用户,并根据相关的Github咨询,“允许攻击者完全控制用户帐户”。
推荐的GitLab修复了暴露了Orgs内部服务器的严重SSRF缺陷
Gamble告诉Gamble说:“电线没有验证是否已上传真实图像,因此您可以将内容类型更改为文本/HTML,从而使恶意JavaScript执行。”每日swbeplay2018官网ig。
“因此,如果您在底部上载有XSS有效载荷的有效图像,则图像的效果很好。但是,一旦在新标签中打开,就会开火。”
研究人员发现的第二个缺陷不太严重拒绝服务(DOS)问题(CVE-2021-32666)在iOS版本的电线中,其中包括“[引号]无效的角色资产会崩溃客户。
“当我们安排获取无效资产的请求时,由于路径包含非法URL字符,因此不可能创建URL对象。”咨询解释。
“这反过来将触发崩溃应用程序的断言。”
协调的披露
两个都漏洞受到赌博与电线安全团队之间的协调披露过程的约束。
“ DOS在版本3.81和存储的XSS在版本2021-06-01-Production.0(6月1日发布)中进行了修补。” Gamble说。
“如果没有自动执行此操作,则用户除了在iOS设备上更新电线外,不需要更新。”
一位电线发言人证实,没有证据表明野外这两种虫子中的任何一个。
发言人说:“这些漏洞是由漏洞研究人员负责任地向我们披露的,在确认了他们的有效性之后,我们固定并尽快释放了它们。”
“我们还积极地发表了作为CVE的漏洞,以实现完全透明度。”
你可能还喜欢输入矩阵:安全通信网络达到3000万用户里程碑