Update: Sicherheitslücke in Messenger-App Signal entdeckt

Sicherheitsforscher haben in der beliebten Messenger-App Signal eine schwerwiegende Sicherheitslücke entdeckt, die es Angreifern ermöglicht, bösartigen Code auf dem Empfängersystem auszuführen. Die Lücke steckt in der Desktop-App für Windows und Linux.

Laut The Hacker News können Angreifer diese Lücke ohne Nutzerinteraktion ausnutzen, in dem sie einfach eine Nachricht mit Javascript-Code an den Empfänger senden.

Die Sicherheitslücke wurde mit Veröffentlichung der Signal-Desktop-Version 1.10.1 gepatcht. Nutzern wird empfohlen, ihre Desktop-Version zu aktualisieren.

Update

Wie “The Hacker News” schon berichtet, ist momentan unklar, ob die Schwachstelle nur im Quellcode von Signal vorhanden war, die mit Version 1.10.1 geschlossen wurde, oder ob die Lücke nicht doch im populären Electron-Framework seinen Ursprung hat.

Laut Trustwave befindet sich die Schwachstelle in alle aktuellen Electron-Versionen von <1.7.13, <1.8.4 und 2.0.0-beta.3. Somit sind alle Anwendungen, die auf die vorgenannten Versionen setzen, betroffen.
Die Electron-Entwickler haben rasch reagiert und bereits einen Patch zur Verfügung gestellt. Doch das ändert zunächst nichts an den bereits installierten Anwendungen, die sind nach wie vor gefährdet. Jetzt müssen die Entwickler, die Electron eingesetzt haben, reagieren und ihre Anwendungen aktualisieren.

Fefe warnt ja schon länger vor Electron:

Bei mir war “benutzt Electron” von Anfang an ein Ausschlusskriterium und ich kann das nur jedem von euch empfehlen, das auch so zu handhaben.

Es war ja auch nicht das erste Mal, dass Electron durch eine gravierende Sicherheitslücke auffällt.

2 thoughts on “Update: Sicherheitslücke in Messenger-App Signal entdeckt

  1. hirnfick20

    Also: Finger weg von Electron-Müll.

Kommentar verfassen