信号：加密消息应用程序中没有零日漏洞的证据

加密消息服务Signal正在揭穿有关该应用程序存在严重漏洞的谣言，该漏洞使用户容易受到攻击。

在有关威胁的报道在周末流传并引发恐慌后，Signal今日试图消除有关零日漏洞的指控。

Signal在推特上写道：“PSA：我们看到了模糊的病毒报告，声称存在信号0天漏洞。”“经过负责任的调查，我们没有证据表明这个漏洞是真实存在的，也没有任何其他信息通过我们的官方报告渠道共享。”

事实上，还没有人发现任何关于该缺陷的确凿证据。谣言似乎来自LinkedIn、Twitter和Mastodon上的几个账号，这些账号对所谓的漏洞发出了警告，但没有提供任何有关该漏洞的文件，包括它是如何被发现的。

根据传言，零日漏洞可以利用Signal预览共享链接的能力来发动攻击。Blackswan网络安全公司首席执行官迈克·塞勒在LinkedIn上写道：“为了消除这个漏洞，让每个人在你的个人资料下设置信号>聊天>取消选择‘生成链接预览’。同时确保你的信号应用程序是最新的。”

有传言称，美国政府掌握了有关该漏洞的信息。然而，Signal表示，它“向美国政府部门的人进行了核实”，以核实调查结果，但“我们采访的那些人没有任何信息表明这是一个有效的说法。”

不过，如果漏洞是真的，Signal希望将有关漏洞的详细信息分享到该组织的电子邮件[Email to Protected]，以便打补丁。

安全研究员马特·布拉泽说，他也听到了关于该漏洞影响Signal桌面服务的传言，可能还会影响其应用程序。他后来表示，谣言可能指的是一个名为CVE-2023-4863的已知漏洞，该漏洞涉及一个在多个浏览器中使用的开源图像库。代码中的一个漏洞可以被用来创建恶意的HTML页面，从而触发该漏洞。

上个月，谷歌是修补这一漏洞的公司之一。但安全研究人员警告说，许多应用程序可能会受到影响，因为它们使用相同的开源图片库。

对此，Signal向PCMag表示：针对CVE-2023-4863，“所有当前版本的Signal都在运行该补丁”。即便如此，一些安全专家建议用户考虑关闭他们不需要的功能，如链接预览，以确保应用程序的安全。