发布日期：2019-07-03
更新日期：2019-07-03

受影响系统：

Signal Private Messenger 4.9
Signal Private Messenger 4.6
Signal Private Messenger 4.35.3
Signal Private Messenger 4.34.8
Signal Private Messenger 4.33
Signal Private Messenger 4.32.8
Signal Private Messenger 4.31.3
Signal Private Messenger 4.23
Signal Private Messenger 4.11.3
Signal Private Messenger 4.10.7
Signal Private Messenger 4.10.10
Signal Private Messenger 4.0
Signal Private Messenger 3.26
Signal Private Messenger 3.24
Signal Private Messenger 3.17
Signal Private Messenger 3.14.1
Signal Private Messenger 3.1.1
Signal Desktop 1.23.1
Signal Desktop 1.23
Signal Desktop 1.21
Signal Desktop 1.19

描述：

---

BUGTRAQ  ID: 107550
CVE(CAN) ID: CVE-2019-9970

Signal是一款具加密功能之即时通信及语音通话软件，它支持iOS、Android、基于 Debian的发行版、macOS及Windows平台。

通过1.23.1打开Signal-Desktop，通过4.35.3 for Android的Signal Private Messenger应用程序在显示包含URL的消息时容易受到IDN同形攻击。发生这种情况是因为即使（例如）拉丁字母和西里尔字符存在于同一域名中，应用程序也会生成可点击链接，并且可用字体具有来自不同字母表的字符的相同表示。

攻击者可能利用此问题来欺骗视觉上类似于合法域的域。这可能导致错误的信任感，因为在与攻击者的恶意站点交互时可能向用户呈现看似可信域的URI。

<*来源：Blaze信息安全团队的Julio Cesar Fort
  
  链接：https://github.com/blazeinfosec/advisories/blob/c70c90bc7f8d82d4d20c42260770cbdeec834623/signal-advi
*>

建议：

---

厂商补丁：

github
------
github已经为此发布了一个安全公告（CVE-2019-9970）以及相应补丁:
CVE-2019-9970：Signal IDN homograph attacks
链接：https://github.com/blazeinfosec/advisories/blob/c70c90bc7f8d82d4d20c42260770cbdeec834623/signal-advi

补丁下载：

浏览次数：2426
严重程度：0（网友投票）