加密消息服务Signal正在揭穿有关该应用程序存在严重漏洞的谣言,该漏洞使用户容易受到攻击。
在有关威胁的报道在周末流传并引发恐慌后,Signal今日试图消除有关零日漏洞的指控。
Signal在推特上写道:“PSA:我们看到了模糊的病毒报告,声称存在信号0天漏洞。”“经过负责任的调查,我们没有证据表明这个漏洞是真实存在的,也没有任何其他信息通过我们的官方报告渠道共享。”
事实上,还没有人发现任何关于该缺陷的确凿证据。谣言似乎来自LinkedIn、Twitter和Mastodon上的几个账号,这些账号对所谓的漏洞发出了警告,但没有提供任何有关该漏洞的文件,包括它是如何被发现的。
根据传言,零日漏洞可以利用Signal预览共享链接的能力来发动攻击。Blackswan网络安全公司首席执行官迈克·塞勒在LinkedIn上写道:“为了消除这个漏洞,让每个人在你的个人资料下设置信号>聊天>取消选择‘生成链接预览’。同时确保你的信号应用程序是最新的。”
有传言称,美国政府掌握了有关该漏洞的信息。然而,Signal表示,它“向美国政府部门的人进行了核实”,以核实调查结果,但“我们采访的那些人没有任何信息表明这是一个有效的说法。”
不过,如果漏洞是真的,Signal希望将有关漏洞的详细信息分享到该组织的电子邮件[Email to Protected],以便打补丁。
安全研究员马特·布拉泽说,他也听到了关于该漏洞影响Signal桌面服务的传言,可能还会影响其应用程序。他后来表示,谣言可能指的是一个名为CVE-2023-4863的已知漏洞,该漏洞涉及一个在多个浏览器中使用的开源图像库。代码中的一个漏洞可以被用来创建恶意的HTML页面,从而触发该漏洞。
上个月,谷歌是修补这一漏洞的公司之一。但安全研究人员警告说,许多应用程序可能会受到影响,因为它们使用相同的开源图片库。
对此,Signal向PCMag表示:针对CVE-2023-4863,“所有当前版本的Signal都在运行该补丁”。即便如此,一些安全专家建议用户考虑关闭他们不需要的功能,如链接预览,以确保应用程序的安全。
– – END – –
– – 转载请声明来源:www.lanpanpan.com – –
编译:盼盼云笔记
