S

Уязвимость во фреймворке Electron затрагивает несколько сотен приложений

Автор smaster67, 14-05-2018, 14:10

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

smaster67

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Некоторые созданные с помощью Electron приложения допускают удаленное выполнение кода.

Во фреймворке с открытым исходным кодом Electron от GitHub найдена серьезная уязвимость CVE-2018-1000136, которая может привести к удаленному выполнению произвольного кода. Технические детали и PoC-код были обнародованы исследователем безопасности Бренданом Скарвеллом (Brendan Scarvell), который обнаружил данную проблему.

Electron позволяет разработчикам создавать кроссплатформенные приложения для компьютера с помощью языков программирования HTML, CSS и JavaScript. Данный фреймворк использовался в разработке сотен приложений, включая Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord и You are not allowed to view links. Register or Login.

Как выяснил эксперт, некоторые приложения, созданные с помощью Electron, могут допускать удаленное выполнение кода в том случае, если они затронуты уязвимостью межсайтового скриптинга и настроены определенным образом.

«Приложения, разработанные с помощью Electron, представляют собой web-приложения, уязвимые к атакам межсайтового скриптинга из-за некорректной проверки входных данных. Приложение на базе Electron по умолчанию включает доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Это делает XSS-атаки особенно опасными, так как полезная нагрузка злоумышленника может позволить выполнять системные команды на стороне клиента», - пояснил исследователь.

Как обнаружил Скарвелл, если в уязвимом приложении некоторые параметры не были заданы вручную в webPreferences, злоумышленник может повторно включить nodeIntegrationduring во время выполнения и выполнить системные команды.

Уязвимость была исправлена разработчиками Electron в марте с выпуском версий 1.7.13, 1.8.4 и 2.0.0-beta.4. Потенциальный ущерб от данной проблемы можно также уменьшить, добавив часть кода, предоставленную разработчиками Electron.

Данная проблема не затрагивает браузер Brave и мессенджер Signal, однако, ранее в последнем была обнаружена другая опасная уязвимость, позволяющая удаленно выполнить произвольный код.

Подробнее: You are not allowed to view links. Register or Login

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.