Sérülékenységek a Matrix üzenetküldő protokollban
A Matrix Foundation nonprofit szervezet, amely az azonos nevű kommunikációs protokoll mögött áll, bejelentette, hogy kijavított két magas súlyosságú sérülékenységet. A rendkívüli biztonsági frissítés olyan hibákat javít, amelyek kihasználásával rosszindulatú szereplők átvehették volna az irányítást a titkosított beszélgetési terek felett, amelyeket számos kormány használ a Matrix segítségével.
A hibák javításához frissíteni kell Matrix szervereket egy olyan verzióra, amely támogatja a „Room Version 12” funkciót, majd manuálisan frissíteni kell minden szobát az új verzióra; a felhasználóknak pedig frissíteniük kell kliensüket is, hogy csatlakozni tudjanak a Room Version 12-re beállított szerverekhez.
A Matrix megerősítette, hogy a protokollt alkalmazó platformok (a Conduit, a Continuwuity, az ejabberd, a Dendrite, a Rocket.chat, a Synapse, a Synapse Pro és a Tuwunel) hamarosan megkapják a javításokat.
Az egyik sérülékenység a CVE-2025-49090, míg a másikhoz még nem rendeltek CVE azonosítót.
A WhatsApp és a Signal végpontok közötti titkosítású üzenetküldő alkalmazásokkal ellentétben a Matrix protokoll egy nyílt szabvány, amelyet a végfelhasználók maguk is implementálhatnak és saját szervereiken futtathatnak. Széles körben használják kormányok és vállalatok, többek között a francia kormány Tchap nevű azonnali üzenetküldő szolgáltatásában, a német fegyveres erőknél és számos más európai közigazgatási szervezetnél, amelyek mindannyian (feltehetőleg) érzékeny információk továbbítására használják. A Matrix protokoll 2022-ben nagyjából 60 millió felhasználóval és körülbelül 500 000 kormányzati felhasználóval rendelkezett.
