Plures vulnerabilities qui in pluribus Matrix customers deprehendi

matrix protocol

Matrix est instante nuntio protocollo aperto. Ordinatur ut utentes ad chat per online communicent, vox per IP, et video chat.

Nuper Vestibulum tincidunt decentralized communicationss «Matrix» monitionem dimisit de variis vulnerabilities qui deprehensi sunt discrimine in matrix-js-sdk, matrix-ios-sdk, et bibliothecas matrix-android-sdk2, quae ministratores administratores impersonare aliis usoribus permittunt, et nuntios ab fine ad finem chats encrypted legere (E2EE).

Haec dicta sunt ut ad impetum feliciter complendum, domus servo regitur ab oppugnatoribus accedenda est (domus servo: servo ad condo historiam et rationes clientis). Usus end-ad-finis encryptionis in latere clientis administratorem intervenire in nuntiando non permittit, sed vulnerabilitates identificati hanc tutelam circumveniri permittunt.

Quaestiones principale Matrix client (olim Riot) pro tela, desktop, iOS, et Android, nec non clientium apps tertii factionis sicut Cinny, Beeper, SchildiChat, Circuli et Synod.im.

Vulnerationes non apparent in bibliothecis matrix-rusti-sdk, hydrogenii-sdk, matricis dart SDK, mautrix-python, mautrix-go, et matrix-nio, necnon Hydrogenium, ElementX, Nheko, FluffyChat, Siphon, Timmy; Gomuks et Pantalaimon medicamenta.

Nota severitatem criticam quaestiones in matrix-js-sdk et derivationibus exsequendis esse, nec protocollo quaestiones in Matrix. Ultimam versionem chartarum investigantium male vidimus Elementum ut "Probatium Matrix clientem" et superiores severitatis exsecutionem errores confundit cum severitate protocolli criticae inferioris.

Sunt tres missiones impetus:

  1. Matrix server administratorem verificationem emoji-fundatam frangere potest (SAS, Brevis Authenticatio Vincula) utendo crucis signaturae et alio usuario personans. Agitur causatur per vulnerabilitatem (CVE-2022-39250) in codice matricis-js-sdk pertinente ad compositionem machinae ID pertractatio et claves crucis signandi.
  2. Percussor, qui servo moderatur, mittente fideli personare potest et fictum clavem transire ad epistulas ab aliis utentibus intercipiendas. Agitur ob vulnerabilitatem in matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), et matrix-android-sdk2 (CVE-2022-39248), quae effecit. Cliens epistulas ad encryptatas male accipit nuntios Mecolm protocollo pro Olm utens, epistulas Megolm mittentis pro actuali mittentis attribuens.
  3. Abutendo vulnerabilities de quibus in paragrapho praecedente, administrator addere potest etiam clavem phantasticam parcere ad rationem usoris extrahendi claves ad epistulas encryptas adhibitas.

Inquisitores qui vulnerability identified et impetus demonstratum addere tertiam partem user ad chat aut coniungere tertiam partem machinam in usuario. Impetus nituntur ex eo quod officium nuntiis usoribus ad chat additis non coniungitur cum clavibus chat auctoris et a ministris administratoris generari possunt.

Tincimenta Matrix Project has vulnerabilitates sicut minores classificatae, cum tales manipulationes Matrix non inhaereant et clientes tantum in protocollo afficiant, sed hoc non significat eos non latere: si usor reponitur, in catalogo utentium usorum ostendetur, et additis. machinatio, monitio ostendetur et machina notabitur ut verificata (in hoc casu, statim postquam adiecta est ratio alienum, incipiet accipere claves publicas necessarias ad minutissimas epistulas.

Animadvertes matrix-sdk-sdk, hydrogenii-sdk, aliasque XNUMXnd et XNUMXrd generationis SDKs a cimices in radice causarum criticarum causarum hic non affici. Hoc ipsum est cur primum generationem SDKs reponere laboravimus cum puro, diligenter exsequendo Rust scriptam in forma matricis-rust-sdk, cum audito publico independens permanente.

Vulnerabilitates causantur a cimicibus in singulis implementations Matrix protocol et problemata ipsius protocolli non sunt. In praesenti, consilium updates pro problematicis SDKs dimisit et nonnullas applicationes clientium super eas aedificatas.

denique sic; vos es interested in cognoscendo de eo, Vos can reprehendo in per singula sequenti.


Contentum enim sua adhaeret unicuique nostrum principiis articulum editorial ethicam. Errorem referunt ad click hic.

Be the first to comment

Relinquite infantiam comment

Tua inscriptio electronica Quisque sit amet nisl.

*

*

  1. Responsible pro notitia: Miguel Angelus Gatón
  2. Ad in notitia: Imperium SPAM, administratione comment.
  3. Legitimation vestri consensu,
  4. Lorem notitia, notitia non communicatur nisi per alios obligationem.
  5. Notitia repono: Database hosted per Occentus Networks (EU)
  6. Iura Et quando potes limit, et delere recuperet vestri notitia.