Команда Matrix Foundation выпустила внеплановое обновление, устраняющее две серьёзные
уязвимости в популярном федеративном протоколе обмена сообщениями.
По оценке разработчиков, в худшем случае сбой позволил бы злоумышленникам вмешаться в работу приватных каналов, в том числе тех, что используются государственными ведомствами Европы для обмена конфиденциальной информацией.
Matrix, в отличие от закрытых мессенджеров вроде Signal или WhatsApp, — это открытый стандарт. Его можно развернуть на собственных серверах и адаптировать под любые нужды — именно этим активно пользуются госорганы Франции, Германии и ряда других стран. Но открытость имеет и обратную сторону: любая уязвимость в ядре может затронуть десятки независимых инстансов по всему миру.
Первая из обнаруженных проблем (CVE-2025-49090) затрагивает систему управления комнатами. Теоретически администратор, действующий в интересах атакующих, мог бы изменить или обнулить права доступа, перенаправить участников в поддельный канал или сорвать обмен сообщениями в критический момент.
Вторая (CVE-2025-54315) связана с генерацией идентификаторов комнат: в некоторых случаях их можно было предугадать, что открывало бы путь к созданию «зеркальной» комнаты ещё до её появления у жертвы.
Обе уязвимости были обнаружены в ходе совместного аудита специалистами Element и Matrix.org. Технические детали пока под эмбарго, а разработчики заранее предупредили администраторов о необходимости тестировать обновления, так как исправления могут вызвать кратковременные перебои.
Полное раскрытие информации о багах намечено на середину августа.
По оценке разработчиков, в худшем случае сбой позволил бы злоумышленникам вмешаться в работу приватных каналов, в том числе тех, что используются государственными ведомствами Европы для обмена конфиденциальной информацией.
Matrix, в отличие от закрытых мессенджеров вроде Signal или WhatsApp, — это открытый стандарт. Его можно развернуть на собственных серверах и адаптировать под любые нужды — именно этим активно пользуются госорганы Франции, Германии и ряда других стран. Но открытость имеет и обратную сторону: любая уязвимость в ядре может затронуть десятки независимых инстансов по всему миру.
Первая из обнаруженных проблем (CVE-2025-49090) затрагивает систему управления комнатами. Теоретически администратор, действующий в интересах атакующих, мог бы изменить или обнулить права доступа, перенаправить участников в поддельный канал или сорвать обмен сообщениями в критический момент.
Вторая (CVE-2025-54315) связана с генерацией идентификаторов комнат: в некоторых случаях их можно было предугадать, что открывало бы путь к созданию «зеркальной» комнаты ещё до её появления у жертвы.
Обе уязвимости были обнаружены в ходе совместного аудита специалистами Element и Matrix.org. Технические детали пока под эмбарго, а разработчики заранее предупредили администраторов о необходимости тестировать обновления, так как исправления могут вызвать кратковременные перебои.
Полное раскрытие информации о багах намечено на середину августа.
