16 сентября 2025

eur = 99.33 -0.41 (-0.41 %)

btc = 114 670.00$ - 967.42 (-0.84 %)

eth = 4 512.34$ - 122.82 (-2.65 %)

ton = 3.14$ -0.03 (-0.89 %)

usd = 84.38 -1.28 (-1.50 %)

eur = 99.33 -0.41 (-0.41 %)

btc = 114 670.00$ - 967.42 (-0.84 %)

В Signal Desktop обнаружили уязвимость, позволяющую получить доступ к кэшу удалённых вложений

1 минута на чтение
В Signal Desktop обнаружили уязвимость, позволяющую получить доступ к кэшу удалённых вложений

Десктопная версия Signal 6.2.0 и более ранние версии для Windows, Linux и macOS подвержены уязвимостям CVE-2023–24068 и CVE-2023–24069.

Они потенциально могут позволить злоумышленнику получить конфиденциальные вложения, отправленные в сообщениях, а также подменить их.

Дело в том, что Signal Desktop хранит вложения в каталоге ~\attachments.noindex в незашифрованном виде. Они автоматически удаляются из этого каталога, если пользователь удаляет их из чата. Однако, если на сообщение с вложением был дан ответ собеседника (с цитированием), то вложение продолжает храниться в локальной папке в открытом виде даже после удаления в интерфейсе мессенджера:

Злоумышленнику, который может получить доступ к этим файлам, даже не нужно будет расшифровывать их, и нет регулярного процесса очистки кэша, поэтому неудалённые файлы просто находятся в незашифрованном виде в этой папке, — отметил исследователь Джон Джексон.

Более того, злоумышленник может подменить хранящийся в кэше файл. С одной стороны, он не заменится автоматически у собеседников, так как каждый клиент Signal Desktop имеет свой локальный кэш.

Однако, если объект потенциального взлома после подмены перешлёт существующую ветку в другие чаты, то в ней окажутся именно подменённые файлы, а не исходные. Исходя из этого, исследователи делают вывод, что Signal Desktop не проверяет изменения в кэшированных ранее файлах.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от ГигаЧат 
1-bg-изображение-0
img-content-1-изображение-0

ГигаЧат: коротко о главном

Как изменился Код Дурова вместе с ГигаЧат?

Узнай о всех возможностях в FAQ-статье 
Spotify расширила возможности бесплатных пользователей

ГигаЧат: коротко о главном

Spotify расширила возможности бесплатных пользователей

Полная версия 
«Магнит» запустил тестирование цифрового подтверждения возраста через мессенджер MAX«Магнит» запустил тестирование цифрового подтверждения возраста через мессенджер MAX«Магнит» запустил тестирование цифрового подтверждения возраста через мессенджер MAX

ГигаЧат: коротко о главном

«Магнит» запустил тестирование цифрового подтверждения возраста через мессенджер MAX

Полная версия 

Реализовано через ГигаЧат 

Сейчас читают
Редакция рекомендует
Карьера
Блоги 417
Газпромбанк
OTP Bank
Т-Банк
X5 Tech
билайн
МТС
Сбер
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы