Por segunda vez en menos de una semana, los usuarios de la popular aplicación de mensajería de señal 
encriptada de extremo a extremo tienen que actualizar sus aplicaciones de escritorio para corregir 
otra vulnerabilidad grave de inyección de código. Descubierta el lunes por el mismo equipo de 
investigadores de seguridad, la vulnerabilidad recientemente descubierta plantea la misma amenaza 
que la anterior, permitiendo a los atacantes remotos inyectar código malicioso en la aplicación de 
escritorio Signal de los destinatarios simplemente enviándoles un mensaje, sin requerir ninguna 
interacción  del usuario.

En otras palabras, para explotar el error recién parcheado en la reciente version de la aplicación
 Signal de escritorio , todo lo que un atacante debe hacer es enviar un código HTML / javascript 
malicioso como un mensaje a la víctima, y ​​luego citar / responder al mismo mensaje con cualquier
 texto aleatorio Si la víctima recibe este mensaje malisioso hace vulnerable la aplicación de 
escritorio Signal, ejecutará automáticamente la carga , sin requerir ninguna interacción 
del usuario.

Hasta ahora, las cargas útiles de prueba de concepto utilizadas para demostrar las vulnerabilidades
de inyección de código en Signal se limitaban a incrustar un iFrame HTML o etiquetas de
imagen / video / audio en la aplicación de escritorio de la víctima.