Новый баг в Signal позволяет получить переписку в виде простого текста

Олег Иванов 17 Мая 2018 - 14:11

...

Новый баг в Signal позволяет получить переписку в виде простого текста

Второй раз за неделю пользователям приложения для обмена сообщениями Signal придется обновлять свои инсталляции программы, так как разработчики устранили еще одну серьезную уязвимость, способную привести к инъекции злонамеренного кода.

Для эксплуатации этого бага злоумышленнику нужно всего лишь отправить специальное текстовое сообщение на десктопную версию мессенджера. При этом взаимодействие с пользователем совершенно не требуется.

Новая уязвимость получила идентификатор CVE-2018-11101, она находится в функции, отвечающей за проверку цитируемых сообщений.

Другими словами, все, что потребуется злоумышленнику, — отправить вредоносный код HTML-JavaScript в качестве сообщения жертве, а затем процитировать — и, соответственно, ответить — на это сообщение случайным текстом.

Получив это сообщение, настольная версия клиента Signal выполнит вредоносную составляющую без всякого взаимодействия с пользователем. Эксперты опубликовали видео, на котором демонстрируется успешная атака на Signal.

Исследователям также удалось создать новый PoC-эксплойт, который позволяет удаленно похитить все беседы жертвы в Signal. Причем эти беседы будут получены злоумышленником в виде простого текста.

Стало быть, данная атака сводит на нет сквозное шифрование, применяемое в Signal.

Но и это еще не все. Специалисты отметили, что злоумышленник может подключить файлы, используя тег iFrame и попытаться похитить хеш пароля NTLMv2 пользователей Windows.

«В операционной системе Windows политика защиты контента (CSP) не может предотвратить удаленное подключение файлов через SMB-протокол. В этом случае атакующий может удаленно запустить JavaScript, указав его в качестве источника в теге iframe, например: <iframe src=\\DESKTOP-XXXXX\Temp\test.html>», — пишут исследователи.

Эксперты полагают, что киберпреступник может использовать инъекцию кода, чтобы заставить Windows инициировать автоматическую проверку подлинности с SMB-сервером, что приведет к передаче имени пользователя и хеша пароля NTLMv2 атакующему.

Следующая главная новость »

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

Яков Шпунт 29 Января 2026 - 11:35

GenAI (генеративный искусственный интеллект) Домашние пользователи

В каждой седьмой студенческой работе обнаружены следы использования ИИ

В 2025 году следы использования генеративного искусственного интеллекта были обнаружены примерно в каждой седьмой студенческой работе, проверенной системой «Антиплагиат». Всего за год через сервис прошло около 8 млн учебных текстов.

Такую статистику привёл РИА Новости генеральный директор компании «Антиплагиат» Евгений Лукьянчиков. По его словам, признаки применения ИИ выявлены в 15,3% работ, при этом средний уровень заимствований из открытых источников составил около 20%.

Наиболее активно генеративные модели используют студенты гуманитарных и социально-экономических направлений: в этих дисциплинах доля ИИ-сгенерированных фрагментов примерно вдвое выше, чем в работах по техническим и естественнонаучным специальностям. В целом, отмечают в «Антиплагиате», интерес студентов к ИИ-инструментам продолжает расти.

Евгений Лукьянчиков также сообщил, что сейчас ведётся разработка новой версии системы «Антиплагиат». Она сможет одновременно выявлять как заимствования, так и тексты, созданные с помощью ИИ, отслеживать процесс написания работы в реальном времени и передавать соответствующие данные преподавателю. Запуск обновлённой версии запланирован на февраль.

«Сегодня уже недостаточно просто искать совпадения в тексте — важно уметь отличать самостоятельную работу от механического копирования или бездумного использования генеративных ИИ-моделей», — подчеркнул Евгений Лукьянчиков. По его мнению, искусственный интеллект должен помогать развитию критического мышления, а не подменять его.

При этом ИИ используют не только студенты. Ранее широкий резонанс вызвало обнаружение следов применения зарубежного ИИ-чат-бота при подготовке пояснительной записки к одному из законопроектов.

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »