События

Созданные с помощью Electron приложения уязвимы к удаленному выполнению кода

Разработчикам Windows-приложений рекомендуется проверить, не подвержена ли используемая ими версия фреймворка Electron недавно обнаруженной уязвимости, позволяющей удаленное выполнение кода.

Electron позволяет разработчикам создавать приложения для настольных ОС с использованием web-технологий (JavaScript, HTML и CSS). Фреймворк включает в себя Node.js для работы с back-end и библиотеку рендеринга из Chromium. Electron используется в реализациях Skype, Slack, Signal, Basecamp и др. Пользователям Slack рекомендуется обновиться до версии 3.0.3 или выше. Согласно заявлению Microsoft, последнюю версию Skype для Windows проблема не затрагивает.

В настоящее время команда Electron не раскрывает все подробности об уязвимости (CVE-2018-1000006). Однако известно, что она затрагивает приложения для Windows, использующие в фреймворке кастомизированные обработчики протоколов.

«Windows-приложения на базе Electron, регистрирующие себя как дефолтный обработчик протокола, например, myapp://, являются уязвимыми. […] Такие приложения могут быть уязвимы независимо от того, как зарегистрирован протокол – с помощью нативного кода, реестра Windows или app.setAsDefaultProtocolClient API», – говорится в уведомлении Electron.

Команда Electron уже выпустила исправленные версии фреймворка – 1.8.2-beta.4, 1.7.11 и 1.6.16. Если установить обновление по каким-либо причинам не представляется возможным, разработчики могут добавить -- в качестве последнего аргумента при вызове app.setAsDefaultProtocolClient, что предотвратит анализ Chromium дальнейших опций. Проблема не затрагивает macOS и Linux.

Источник

Автор: Сергей Куприянов
24.01.2018 (10:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.