Une vulnérabilité importante a été découverte dans l'application de messagerie Signal pour Windows et Linux. L'exploitation de cette faille permettrait à un attaquant d'exécuter du code à distance sans interaction avec la victime en envoyant simplement une URL malveillante par message. Le lien serait ouvert automatiquement si la fenêtre de discussion est ouverte. L'exposition à cette vulnérabilité rend l'application vulnérable à la faille CVE-2018-1000136 récemment découverte dans Electron permettant l'exécution de code à distance.
Le problème réside dans la fonction de traitement des liens partagés. Un patch de sécurité a été diffusé quelques heures après le signalement de la vulnérabilité.
Il est recommandé de maintenir l'application Signal à jour.