PT-2021-22961 · Matrix+2 · Matrix-Android-Sdk2+2
Denis Kasak
·
Publicado
2021-09-13
·
Atualizado
2023-08-08
·
CVE-2021-40824
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Element para Android anteriores à 1.2.2
Versões do matrix-android-sdk2 (também conhecido como Matrix SDK para Android) anteriores à 1.2.2
Descrição
Um erro lógico na funcionalidade de compartilhamento de chaves de sala permite que um servidor Matrix malicioso presente em uma sala criptografada roube as chaves de criptografia da sala que foram originalmente enviadas pelos clientes Matrix afetados participantes dessa sala. Isso permite que o invasor descriptografe mensagens criptografadas de ponta a ponta enviadas pelos clientes afetados. O problema leva a uma verificação de identidade inadequada, permitindo que um dispositivo solicitante de chaves seja falsificado.
Recomendações
Para versões do Element Android anteriores à 1.2.2, atualize para a versão 1.2.2 ou posterior para resolver o problema.
Para versões do matrix-android-sdk2 (também conhecido como Matrix SDK para Android) anteriores à 1.2.2, atualize para a versão 1.2.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à funcionalidade de compartilhamento de chaves de sala até que um patch esteja disponível.
Correção
Authentication Bypass by Spoofing
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Element Android
Matrix-Android-Sdk2