Por segunda vez en menos de una semana, los usuarios de la popular aplicación de mensajería de señal encriptada de extremo a extremo tienen que actualizar sus aplicaciones de escritorio para corregir otra vulnerabilidad grave de inyección de código. Descubierta el lunes por el mismo equipo de investigadores de seguridad, la vulnerabilidad recientemente descubierta plantea la misma amenaza que la anterior, permitiendo a los atacantes remotos inyectar código malicioso en la aplicación de escritorio Signal de los destinatarios simplemente enviándoles un mensaje, sin requerir ninguna interacción del usuario. En otras palabras, para explotar el error recién parcheado en la reciente version de la aplicación Signal de escritorio , todo lo que un atacante debe hacer es enviar un código HTML / javascript malicioso como un mensaje a la víctima, y luego citar / responder al mismo mensaje con cualquier texto aleatorio Si la víctima recibe este mensaje malisioso hace vulnerable la aplicación de escritorio Signal, ejecutará automáticamente la carga , sin requerir ninguna interacción del usuario. Hasta ahora, las cargas útiles de prueba de concepto utilizadas para demostrar las vulnerabilidades de inyección de código en Signal se limitaban a incrustar un iFrame HTML o etiquetas de imagen / video / audio en la aplicación de escritorio de la víctima.
