Signal 否认0day传闻

admin 2023年10月17日20:48:34评论6 views字数 1310阅读4分22秒阅读模式

Signal 否认0day传闻 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Signal 公司调查了上周末与 “生成链接预览 (Generate Link Previews)” 特性相关联的0day漏洞传闻后,表示未有证据表明该漏洞真实存在。
Signal 否认0day传闻

此前,多个消息来源人士告知新闻媒体 BleepingComputer 称,Signal 的“生成链接预览”特性中存在一个新0day漏洞,可导致设备遭完全接管。Signal 公司收到 0day 消息后发布声明指出,已调查该传闻并未发现该漏洞真实存在的证据,另外“我们的官方报道渠道也并未分享其它信息。由于该复制粘贴的报告声称美国政府是消息来源,因此我们也和美国政府相关人员进行了交流,他们表示这种言论没有依据”。

由于相关新闻提到了来自美国政府来源,因此在上周六下午迅速传遍网络以及网络安全社区。这些未具名的美国政府消息来源人士表示,可通过禁用该特性的方式缓解该0day漏洞。

不过,BleepingComputer 表示,无法证实这些言论的有效性,尽管多名人员提到了这些消息来源。虽然Signal 公司表示并未发现0day漏洞证据,但仍然要求获得新的“真实”消息的人员与其安全团队取得联系。目前Signal 公司仍在调查该漏洞,而缓解措施是禁用“生成链接预览“特性,因此用户可在消息证实确认前先禁用该特性。


Signal 否认0day传闻
需求旺盛的 Signal 0day漏洞

Signal 0day 漏洞是备受漏洞经纪公司青睐的香饽饽,它们愿意未可导致RCE后果的漏洞支付高价。

Zerodium 对于一个可导致提权和远程代码执行后果的 Signal 0day 利用链愿意出价50万美元。俄罗斯经纪公司 Operation Zero 愿意为一个 Signal 0day RCE 漏洞最高出价150万美元。虽然这两家机构都在收购 0day 漏洞,不过前者出售的对象是私营企业和政府机构,而后者只卖给俄罗斯实体。

移动应用和操作系统 0day 漏洞的需求也很多,监控软件开发人员通常利用这些漏洞在移动设备上安装监控软件,而这些服务的使用对象为各种实体,如政府机构借此监控记者、活动家和政治家的活动。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

Signal 创始人手撕以色列取证公司 Cellebrite 软件源代码:尝尝被黑的滋味

Signal 紧急修复严重的窃听漏洞

Signal 存在缺陷 无需用户交互即可触发代码执行

Signal消息app发布加密视频通话功能



原文链接

https://www.bleepingcomputer.com/news/security/signal-says-there-is-no-evidence-rumored-zero-day-bug-is-real/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Signal 否认0day传闻
Signal 否认0day传闻

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Signal 否认0day传闻 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Signal 否认0day传闻

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月17日20:48:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Signal 否认0day传闻https://cn-sec.com/archives/2121903.html

发表评论

匿名网友 填写信息