Vulnerabilidad en Matrix Javascript SDK (CVE-2022-39251)

Matrix Javascript SDK es el SDK cliente-servidor de Matrix para JavaScript. En versiones anteriores a 19.7.0, un atacante que coopere con un servidor doméstico malicioso puede construir mensajes que parezcan legítimamente proceder de otra persona, sin ninguna indicación como un escudo gris. Además, un atacante sofisticado que coopere con un servidor doméstico malicioso podría emplear esta vulnerabilidad para llevar a cabo un ataque dirigido con el fin de enviar mensajes falsos al dispositivo que parezcan proceder de otro usuario. Esto puede permitir, por ejemplo, inyectar el secreto de la copia de seguridad de la clave durante una autoverificación, para hacer que un dispositivo objetivo comience a usar una copia de seguridad de la clave maliciosa falsificada por el servidor doméstico. Estos ataques son posibles debido a una vulnerabilidad de confusión en el protocolo que acepta mensajes hacia el dispositivo cifrados con Megolm en lugar de Olm. A partir de la versión 19.7.0, matrix-js-sdk ha sido modificado para aceptar únicamente mensajes to-device cifrados con Olm. Por precaución, han sido auditadas o añadidas otras comprobaciones. Este ataque requiere la coordinación entre un servidor doméstico malicioso y un atacante, por lo que aquellos que confían en sus servidores domésticos no necesitan una mitigación