研究者のイヴァン・アリエル・バレラ・オロ氏、アルフレド・オルテガ氏、ジュリアーノ・リッツォ氏は、内部告発者のエドワード・スノーデン氏、活動家、ジャーナリスト、米国選挙陣営、上院職員などが利用するオープンソースのプライベートメッセンジャー「Signal」のスタンドアロンデスクトップ版に、リモートコード実行のバグを発見しました。このバグを悪用されると、悪意のある人物がチャットウィンドウに「ゼロクリック」の悪意あるHTMLコードを挿入し、ユーザーのマシンを乗っ取る可能性があります。
Signal のリモートコード実行脆弱性
Barrera氏によると、この脆弱性はSignalデスクトップアプリケーションがURLアドレスを解析しようとする際に悪用される可能性があるとのことです。Signalアプリは、チャットウィンドウにHTMLコードを挿入するために使用できる特定のHTMLタグをサニタイズできません。
具体的には、「img」タグと「iframe」タグはリモートまたはローカルのリソースを組み込むために利用され、攻撃者がファイルや情報などをダウンロードまたはアップロードすることを可能にします。また、研究者は「script」タグがインジェクション可能であることも発見しました。Windowsでは、JavaScriptコードはユーザーによる操作を必要とせず自動的に実行されます。攻撃者は、特別に細工したメッセージをターゲットに送信することで、この脆弱性を悪用することができます。
Signalデスクトップにおける同様のRCE
他の研究者が発見したバグをテストしていた別のウェブセキュリティ研究者、マシュー・ブライアント氏も、同様のリモートコード実行バグを発見しました。ブライアント氏は、<h1>Test</h1> のようなHTMLマークアップを含むメッセージを送信し、その後同じメッセージを引用すると、元のマークアップがHTMLとして評価されることを発見しました。この攻撃は、攻撃者がHTMLとして解釈される通常のSignalメッセージを送信するだけで済んだ以前の脆弱性が修正された後でも有効でした。
両方の脆弱性は、Signalチームによって報告から数時間以内に修正されました。そのため、Signalデスクトップ版の最新バージョンに直ちにアップデートしてください。これらの脆弱性は、アプリのモバイル版には影響しませんでした。
Bryant 氏と彼の友人である @aegarbutt 氏、@LittleJoeTables 氏は、Signal デスクトップ向けの多層防御の推奨事項のリストも作成し、将来この種の問題が再び発生するのを防ぐために Signal 開発者に送信しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
