Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tenable Research a découvert une vulnérabilité sur Slack permettant d’espionner ou de manipuler des fichiers

mai 2019 par Tenable Research

Tenable®, Inc. annonce que son équipe de recherche a découvert une vulnérabilité dans l’application Slack Desktop pour Windows qui permet à un attaquant de modifier l’emplacement de stockage des fichiers d’une victime lorsque les documents sont téléchargés dans Slack.

Slack est devenu un outil essentiel pour de nombreuses organisations qui cherchent à faciliter les échanges entre leurs employés. La vulnérabilité, qui se trouve dans la version 3.3.7, permet à un attaquant d’envoyer un hyperlien par l’intermédiaire d’un message Slack qui, si on clique dessus, change le chemin de téléchargement du document vers un partage de fichiers appartenant à l’attaquant. En exploitant la faille, un attaquant peut non seulement voler les futurs documents téléchargés dans Slack, mais il peut aussi les manipuler, par exemple en injectant du code malveillant qui pourrait compromettre le poste de la victime une fois exécuté.

« L’économie numérique et la répartition des travailleurs aux quatre coins du monde a mené à la mise en place de nouvelles technologies dans le but d’assurer une connectivité transparente », commente Renaud Deraison, cofondateur et directeur de la technologie chez Tenable. « Mais il est essentiel que les organisations réalisent que cette technologie émergente est potentiellement vulnérable et fait partie de leur surface d’attaque en expansion. Tenable Research continue de travailler avec des fournisseurs tels que Slack pour divulguer nos découvertes afin d’assurer la sécurité des utilisateurs et des organisations. »

Slack a publié la version 3.4.0 qui corrige cette vulnérabilité. Les utilisateurs sont priés de vérifier que leur version Slack sur Windows est bien à jour.


Voir les articles précédents

    

Voir les articles suivants