聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
此前,多个消息来源人士告知新闻媒体 BleepingComputer 称,Signal 的“生成链接预览”特性中存在一个新0day漏洞,可导致设备遭完全接管。Signal 公司收到 0day 消息后发布声明指出,已调查该传闻并未发现该漏洞真实存在的证据,另外“我们的官方报道渠道也并未分享其它信息。由于该复制粘贴的报告声称美国政府是消息来源,因此我们也和美国政府相关人员进行了交流,他们表示这种言论没有依据”。
由于相关新闻提到了来自美国政府来源,因此在上周六下午迅速传遍网络以及网络安全社区。这些未具名的美国政府消息来源人士表示,可通过禁用该特性的方式缓解该0day漏洞。
不过,BleepingComputer 表示,无法证实这些言论的有效性,尽管多名人员提到了这些消息来源。虽然Signal 公司表示并未发现0day漏洞证据,但仍然要求获得新的“真实”消息的人员与其安全团队取得联系。目前Signal 公司仍在调查该漏洞,而缓解措施是禁用“生成链接预览“特性,因此用户可在消息证实确认前先禁用该特性。
Signal 0day 漏洞是备受漏洞经纪公司青睐的香饽饽,它们愿意未可导致RCE后果的漏洞支付高价。
Zerodium 对于一个可导致提权和远程代码执行后果的 Signal 0day 利用链愿意出价50万美元。俄罗斯经纪公司 Operation Zero 愿意为一个 Signal 0day RCE 漏洞最高出价150万美元。虽然这两家机构都在收购 0day 漏洞,不过前者出售的对象是私营企业和政府机构,而后者只卖给俄罗斯实体。
移动应用和操作系统 0day 漏洞的需求也很多,监控软件开发人员通常利用这些漏洞在移动设备上安装监控软件,而这些服务的使用对象为各种实体,如政府机构借此监控记者、活动家和政治家的活动。
https://www.bleepingcomputer.com/news/security/signal-says-there-is-no-evidence-rumored-zero-day-bug-is-real/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Signal 否认0day传闻
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论