События

Уязвимость во фреймворке Electron затрагивает несколько сотен приложений

Во фреймворке с открытым исходным кодом Electron от GitHub найдена серьезная уязвимость CVE-2018-1000136, которая может привести к удаленному выполнению произвольного кода. Технические детали и PoC-код были обнародованы исследователем безопасности Бренданом Скарвеллом (Brendan Scarvell), который обнаружил данную проблему.

Electron позволяет разработчикам создавать кроссплатформенные приложения для компьютера с помощью языков программирования HTML, CSS и JavaScript. Данный фреймворк использовался в разработке сотен приложений, включая Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord и WordPress.com.

Как выяснил эксперт, некоторые приложения, созданные с помощью Electron, могут допускать удаленное выполнение кода в том случае, если они затронуты уязвимостью межсайтового скриптинга и настроены определенным образом.

«Приложения, разработанные с помощью Electron, представляют собой web-приложения, уязвимые к атакам межсайтового скриптинга из-за некорректной проверки входных данных. Приложение на базе Electron по умолчанию включает доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Это делает XSS-атаки особенно опасными, так как полезная нагрузка злоумышленника может позволить выполнять системные команды на стороне клиента», - пояснил исследователь.

Как обнаружил Скарвелл, если в уязвимом приложении некоторые параметры не были заданы вручную в webPreferences, злоумышленник может повторно включить nodeIntegrationduring во время выполнения и выполнить системные команды.

Уязвимость была исправлена разработчиками Electron в марте с выпуском версий 1.7.13, 1.8.4 и 2.0.0-beta.4. Потенциальный ущерб от данной проблемы можно также уменьшить, добавив часть кода, предоставленную разработчиками Electron.

Данная проблема не затрагивает браузер Brave и мессенджер Signal, однако, ранее в последнем была обнаружена другая опасная уязвимость, позволяющая удаленно выполнить произвольный код.

Источник

Автор: Сергей Куприянов
14.05.2018 (13:29)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.