Investigadores de Seguridad han descubierto una grave vulnerabilidad en la popular aplicacion de mensajera llamada Signal, para Windows y Linux la cual permite a un atacante malicioso ejecutar código remoto con tan solo enviar un mensaje, y sin que el receptor haga tenga alguna interacción con este mensaje.
Remote zero-click JavaScript code execution on signal desktop message app. Thanks @HacKanCuBa and @julianor pic.twitter.com/YgT8akGfBI— Alfredo Ortega (@ortegaalfredo) 11 de mayo de 2018
La vulnerabilidad fue descubierta por el Investigador de Seguridad Argentino Alfredo Ortega, y fue anunciada en su cuenta de Twitter, en la cual adjunto un video en el que se muestra una prueba de concepto, demostrando como con Javascript se puede ejecutar un código en el equipo destinatario.
Siendo que los detalles de la vulnerabilidad no han sido revelados aun, la falla corresponde a una ejecución de código remoto en Signal, la cual podría permitir a un atacante remoto poder inyectar código malicioso en un equipo objetivo, que corra con Windows o Linux.
Ortega también confirmo que su explotación es parte de un par de vulnerabilidades encontrados por otros dos investigadores de seguridad en Argentina, Iván y Juliano.
Aún no está claro si la vulnerabilidad reside en el código fuente de la aplicación Signal, o esta dentro del framework de Electron, tecnología en la cual esta basada la versión de Escritorio de Signal. Si la falla reside en el FrameWork de Electron, también podría afectar otras aplicaciones de escritorio ampliamente utilizadas, como Skype, Wordpress y Slack, que también usan el FrameWork.
La primera vulnerabilidad de ejecución de código remoto fue parchada en la versión estable de Signal.
Como recomendación, claramente habrá que actualizar a la última versión estable disponible
