Signal 公司调查了上周末与 “生成链接预览 (Generate Link Previews)” 特性相关联的0day漏洞传闻后，表示未有证据表明该漏洞真实存在。

此前，多个消息来源人士告知新闻媒体 BleepingComputer 称，Signal 的“生成链接预览”特性中存在一个新0day漏洞，可导致设备遭完全接管。Signal 公司收到 0day 消息后发布声明指出，已调查该传闻并未发现该漏洞真实存在的证据，另外“我们的官方报道渠道也并未分享其它信息。由于该复制粘贴的报告声称美国政府是消息来源，因此我们也和美国政府相关人员进行了交流，他们表示这种言论没有依据”。

由于相关新闻提到了来自美国政府来源，因此在上周六下午迅速传遍网络以及网络安全社区。这些未具名的美国政府消息来源人士表示，可通过禁用该特性的方式缓解该0day漏洞。

不过，BleepingComputer 表示，无法证实这些言论的有效性，尽管多名人员提到了这些消息来源。虽然Signal 公司表示并未发现0day漏洞证据，但仍然要求获得新的“真实”消息的人员与其安全团队取得联系。目前Signal 公司仍在调查该漏洞，而缓解措施是禁用“生成链接预览“特性，因此用户可在消息证实确认前先禁用该特性。

需求旺盛的 Signal 0day漏洞

Signal 0day 漏洞是备受漏洞经纪公司青睐的香饽饽，它们愿意未可导致RCE后果的漏洞支付高价。

Zerodium 对于一个可导致提权和远程代码执行后果的 Signal 0day 利用链愿意出价50万美元。俄罗斯经纪公司 Operation Zero 愿意为一个 Signal 0day RCE 漏洞最高出价150万美元。虽然这两家机构都在收购 0day 漏洞，不过前者出售的对象是私营企业和政府机构，而后者只卖给俄罗斯实体。

移动应用和操作系统 0day 漏洞的需求也很多，监控软件开发人员通常利用这些漏洞在移动设备上安装监控软件，而这些服务的使用对象为各种实体，如政府机构借此监控记者、活动家和政治家的活动。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~