CVE-2022-39249

Versões do Matrix JavaScript SDK anteriores à 19.7.0

Um invasor em conluio com um servidor doméstico malicioso pode criar mensagens que parecem ter sido enviadas por outra pessoa. Essas mensagens serão marcadas com um escudo cinza em algumas plataformas, mas essa marcação pode não aparecer em outras. Este ataque é possível devido ao fato de o matrix-js-sdk implementar uma estratégia de encaminhamento de chaves excessivamente permissiva no lado receptor. O SDK agora define um sinalizador trusted na mensagem descriptografada após a descriptografia, com base no fato de a chave usada para descriptografar a mensagem ter sido recebida de uma fonte confiável. Os clientes precisam garantir que as mensagens descriptografadas com uma chave com trusted = false sejam sinalizadas adequadamente, por exemplo, exibindo um aviso para tais mensagens. Esse ataque requer coordenação entre um servidor doméstico malicioso e um invasor, e aqueles que confiam em seus servidores domésticos não precisam de uma solução alternativa.

Atualize para a versão 19.7.0 ou posterior, que inclui uma política padrão mais rigorosa para aceitar encaminhamentos de chaves.

Como solução alternativa temporária, considere marcar adequadamente as mensagens descriptografadas com uma chave com trusted = false, por exemplo, exibindo um aviso para essas mensagens.

Restrinja o acesso ao mecanismo de encaminhamento de chaves para minimizar o risco de exploração.

Certifique-se de que os clientes tratem as mensagens com trusted = false corretamente, por exemplo, exibindo um aviso para essas mensagens.