Разработчики Electron исправили критическую уязвимость во фреймворке
Разработчики фреймворка с открытым исходным кодом Electron от GitHub выпустили исправление для критической уязвимости CVE-2018-1000006, позволяющей удаленно выполнить произвольный код. Уязвимость может быть проэксплуатирована для запуска произвольных команд на компьютере под управлением ОС Windows. Для этого злоумышленнику достаточно заставить жертву перейти по специально сформированному URL-адресу.
Electron позволяет разработчикам создавать кроссплатформенные приложения для компьютера с помощью языков программирования HTML, CSS и JavaScript. Данный фреймворк использовался в разработке сотен приложений, включая Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord и WordPress.com.
Как предполагалось ранее, уязвимость была устранена в исправлении от 22 января 2018 года, однако исследователи безопасности из компании Doyensec, выяснили , что это не так, выявив в патче ряд дополнительных проблем. По словам экспертов, новая проблема позволяет осуществить атаку «человек посередине» (Man-in-the-Middle), позволяя похитить данные из приложения, а также выполнять произвольные команды.
Проблема возникла из-за некорректно реализованного правила хостов в черном списке. Таким образом, злоумышленник может установить собственные правила для переписывания выданных libchroumiumcontent доменных имен и перехвата трафика.
Напомним, ранее в Electron была обнаружена серьезная уязвимость CVE-2018-1000136, которая может привести к удаленному выполнению произвольного кода.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш