L'application de messagerie Signal corrige une vulnérabilité de cross-site scripting (XSS) dans son produit

Une vulnérabilité importante a été découverte dans l'application de messagerie Signal pour Windows et Linux. L'exploitation de cette faille permettrait à un attaquant d'exécuter du code à distance sans interaction avec la victime en envoyant simplement une URL malveillante par message. Le lien serait ouvert automatiquement si la fenêtre de discussion est ouverte. L'exposition à cette vulnérabilité rend l'application vulnérable à la faille CVE-2018-1000136 récemment découverte dans Electron permettant l'exécution de code à distance.

Le problème réside dans la fonction de traitement des liens partagés. Un patch de sécurité a été diffusé quelques heures après le signalement de la vulnérabilité.

Il est recommandé de maintenir l'application Signal à jour.