События

Разработчики Electron исправили критическую уязвимость во фреймворке

Разработчики фреймворка с открытым исходным кодом Electron от GitHub выпустили исправление для критической уязвимости CVE-2018-1000006, позволяющей удаленно выполнить произвольный код. Уязвимость может быть проэксплуатирована для запуска произвольных команд на компьютере под управлением ОС Windows. Для этого злоумышленнику достаточно заставить жертву перейти по специально сформированному URL-адресу.

Electron позволяет разработчикам создавать кроссплатформенные приложения для компьютера с помощью языков программирования HTML, CSS и JavaScript. Данный фреймворк использовался в разработке сотен приложений, включая Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord и WordPress.com.

Как предполагалось ранее, уязвимость была устранена в исправлении от 22 января 2018 года, однако исследователи безопасности из компании Doyensec, выяснили , что это не так, выявив в патче ряд дополнительных проблем. По словам экспертов, новая проблема позволяет осуществить атаку «человек посередине» (Man-in-the-Middle), позволяя похитить данные из приложения, а также выполнять произвольные команды.

Проблема возникла из-за некорректно реализованного правила хостов в черном списке. Таким образом, злоумышленник может установить собственные правила для переписывания выданных libchroumiumcontent доменных имен и перехвата трафика.

Напомним, ранее в Electron была обнаружена серьезная уязвимость CVE-2018-1000136, которая может привести к удаленному выполнению произвольного кода.

Источник

Автор: Сергей Куприянов
25.05.2018 (16:38)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.