Выпущены релизы безопасности matrix-js-sdk и matrix-react-sdk, чтобы исправить пару уязвимостей высокой степени серьезности (зарезервированных как CVE-2022-36059 для matrix-js-sdk и CVE-2022-36060 для matrix-react-sdk).
Затронуты клиенты, которые зависят от затронутых библиотек, такие как Element Web/Desktop и Cinny. Релизы затронутых клиентов появятся в ближайшее время. Пользователям этих клиентов рекомендуется выполнить обновление при первой же возможности.
Уязвимости дают злоумышленнику, с которым вы делите комнату, возможность провести атаку типа «отказ в обслуживании» против уязвимых клиентов, заставляя его не показывать все комнаты или пространства пользователя и/или вызывая незначительные временные повреждения.
Полная информация об уязвимости будет раскрыта позже, чтобы дать людям время на обновление, а авторам — провести более тщательный аудит кодовой базы.
Обратите внимание, что, хотя уязвимость, насколько нам известно, никогда не использовалась злонамеренно, в результате непреднамеренного публичного тестирования некоторые люди пострадали от этой ошибки. Если вы пострадали, вам может потребоваться очистить кеш и перезагрузить клиент Matrix, чтобы изменения вступили в силу.
Авторы благодарят Вэла Лоренца, который обнаружил уязвимость и сообщил о ней на выходных.
Новость на LOR
>> Подробности
Затронуты клиенты, которые зависят от затронутых библиотек, такие как Element Web/Desktop и Cinny. Релизы затронутых клиентов появятся в ближайшее время. Пользователям этих клиентов рекомендуется выполнить обновление при первой же возможности.
Уязвимости дают злоумышленнику, с которым вы делите комнату, возможность провести атаку типа «отказ в обслуживании» против уязвимых клиентов, заставляя его не показывать все комнаты или пространства пользователя и/или вызывая незначительные временные повреждения.
Полная информация об уязвимости будет раскрыта позже, чтобы дать людям время на обновление, а авторам — провести более тщательный аудит кодовой базы.
Обратите внимание, что, хотя уязвимость, насколько нам известно, никогда не использовалась злонамеренно, в результате непреднамеренного публичного тестирования некоторые люди пострадали от этой ошибки. Если вы пострадали, вам может потребоваться очистить кеш и перезагрузить клиент Matrix, чтобы изменения вступили в силу.
Авторы благодарят Вэла Лоренца, который обнаружил уязвимость и сообщил о ней на выходных.
Новость на LOR
>> Подробности