Группа исследователей безопасности обнаружила ряд уязвимостей в программном обеспечении, лежащем в основе таких популярных приложений, как Discord, Microsoft Teams, Spotify и многих других, которыми пользуются десятки миллионов людей по всему миру.

На конференции по кибербезопасности Black Hat в Лас-Вегасе исследователи подробно описали, как они могли взломать людей, использующих Discord, Microsoft Teams и чат-приложение Element, используя программное обеспечение, лежащее в основе всех этих приложений: Electron, который представляет собой фреймворк, построенный на открытом исходном коде Chromium и кросс-платформенной среде javascript Node JS.

Во всех этих случаях исследователи отправляли уязвимости в Electron для их устранения, что принесло им более 10 000 долларов в качестве вознаграждения. Ошибки были исправлены до того, как исследователи опубликовали свои исследования.

В случае с Discord, ошибка, которую нашли исследователи, требовала только отправки вредоносной ссылки на видео. В Microsoft Teams обнаруженную ошибку можно было использовать, пригласив жертву на встречу. В обоих случаях, если жертвы переходили по ссылкам, хакеры могли получить контроль над их компьютерами.

Источник: Ferra