CVE-2021-40823

Versões do matrix-js-sdk anteriores à 12.4.1

Versões do Element Web 1.8.2 e anteriores

Versões do Element Desktop 1.8.2 e anteriores

Versões do SchildiChat Web 1.7.32-sc1 e anteriores

Versões do SchildiChat Desktop 1.7.32-sc1 e anteriores

Versões do Cinny 1.2.0 e anteriores

Um erro de lógica na funcionalidade de compartilhamento de chaves de sala permite que um servidor Matrix malicioso presente em uma sala criptografada roube as chaves de criptografia da sala que foram originalmente enviadas pelos clientes Matrix afetados participantes dessa sala. Isso permite que o servidor Matrix descriptografe mensagens criptografadas de ponta a ponta enviadas pelos clientes afetados. O problema afeta clientes que utilizam versões vulneráveis do matrix-js-sdk.

Para versões do matrix-js-sdk anteriores à 12.4.1, atualize para a versão 12.4.1 ou posterior para resolver o problema.

Para versões do Element Web 1.8.2 e anteriores, atualize para uma versão posterior à 1.8.2.

Para versões do Element Desktop 1.8.2 e anteriores, atualize para uma versão posterior à 1.8.2.

Para versões do SchildiChat Web 1.7.32-sc1 e anteriores, atualize para uma versão posterior à 1.7.32-sc1.

Para versões do SchildiChat Desktop 1.7.32-sc1 e anteriores, atualize para uma versão posterior à 1.7.32-sc1.

Para as versões 1.2.0 e anteriores do Cinny, atualize para uma versão posterior à 1.2.0.

Como solução temporária, considere colocar os clientes vulneráveis offline ou desconectá-los para impedir que um servidor doméstico roube as chaves das salas. Ao desconectar, configure o Secure Backup ou exporte as chaves de sala E2E para preservar o acesso