4 декабря 2024

eur = 112.80 -1.51 (-1.32 %)

btc = 95 509.00$ - 611.10 (-0.64 %)

eth = 3 823.95$ 234.94 (6.55 %)

ton = 7.05$ 0.42 (6.27 %)

usd = 107.18 -0.57 (-0.52 %)

eur = 112.80 -1.51 (-1.32 %)

btc = 95 509.00$ - 611.10 (-0.64 %)

Форум

В Signal Desktop обнаружили уязвимость, позволяющую получить доступ к кэшу удалённых вложений

1 минута на чтение
В Signal Desktop обнаружили уязвимость, позволяющую получить доступ к кэшу удалённых вложений

Десктопная версия Signal 6.2.0 и более ранние версии для Windows, Linux и macOS подвержены уязвимостям CVE-2023–24068 и CVE-2023–24069.

Они потенциально могут позволить злоумышленнику получить конфиденциальные вложения, отправленные в сообщениях, а также подменить их.

Дело в том, что Signal Desktop хранит вложения в каталоге ~\attachments.noindex в незашифрованном виде. Они автоматически удаляются из этого каталога, если пользователь удаляет их из чата. Однако, если на сообщение с вложением был дан ответ собеседника (с цитированием), то вложение продолжает храниться в локальной папке в открытом виде даже после удаления в интерфейсе мессенджера:

Злоумышленнику, который может получить доступ к этим файлам, даже не нужно будет расшифровывать их, и нет регулярного процесса очистки кэша, поэтому неудалённые файлы просто находятся в незашифрованном виде в этой папке, — отметил исследователь Джон Джексон.

Более того, злоумышленник может подменить хранящийся в кэше файл. С одной стороны, он не заменится автоматически у собеседников, так как каждый клиент Signal Desktop имеет свой локальный кэш.

Однако, если объект потенциального взлома после подмены перешлёт существующую ветку в другие чаты, то в ней окажутся именно подменённые файлы, а не исходные. Исходя из этого, исследователи делают вывод, что Signal Desktop не проверяет изменения в кэшированных ранее файлах.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
9eda8840-ffe6-46b4-bbae-5fbdf795717e-изображение-0

GigaChat Max: коротко о главном

В ChatGPT может появиться реклама

Полная версия 
c99cd754-ab33-406e-aa0d-4eb1bbde81a2-изображение-03fbe23d8-5bd1-47b8-bead-86df618f650a-изображение-1

GigaChat Max: коротко о главном

Telegram выпустил обновление: поиск стикеров при помощи ИИ, коллажи в историях

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Новости
Карьера
Блоги 298
Газпромбанк
МТС
Т-Банк
X5 Tech
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131