Matrix Javascript SDK — это Matrix Client-Server SDK для JavaScript. До версии 19.7.0 злоумышленник, сотрудничающий со злонамеренным сервером homeserver, может создавать сообщения, которые достоверно выглядят как пришедшие от другого человека, без каких-либо указаний, таких как серый щит. Кроме того, опытный злоумышленник, сотрудничающий со злонамеренным сервером homeserver, может использовать эту уязвимость для проведения целенаправленной атаки с целью отправки поддельных сообщений на устройство, которые, по-видимому, исходят от другого пользователя. Это может позволить, например, внедрить секрет резервного копирования ключей во время самостоятельной проверки, чтобы целевое устройство начало использовать вредоносное резервное копирование ключей, подделанное сервером homeserver. Эти атаки возможны из-за уязвимости путаницы протоколов, которая принимает сообщения на устройство, зашифрованные с помощью Megolm, вместо Olm. Начиная с версии 19.7.0, matrix-js-sdk был изменен, чтобы принимать только сообщения на устройство, зашифрованные с помощью Olm. В целях предосторожности было проверено или добавлено несколько других проверок. Эта атака требует координации между злонамеренным домашним сервером и злоумышленником, поэтому тем, кто доверяет своим домашним серверам, не требуется обходной путь.