CVE-2018-1000136 er identifikationen af en sikkerhedsbrist i forbindelse Electron brugt i populære apps såsom Skype, slack, Signal, og WhatsApp. Den Electron rammer er open source og er skabt og vedligeholdt af GitHub. Fejlen var opdaget af Brendan Scarvell fra Trustwave.
CVE-2018-1000136 Officiel beskrivelse
Electron-version 1.7 op til 1.7.12; 1.8 op til 1.8.3 og 2.0.0 op til 2.0.0-beta.3 indeholder en forkert håndtering af værdier sårbarhed i Webviews der kan resultere i fjernkode, i henhold til Mitres beskrivelse.
Mere specifikt, dette angreb er udnyttes via en app, der giver mulighed for udførelse af tredjeparts kode udelukke node integration uden at have angivet, hvis WebView aktiveres / deaktiveres. Denne sårbarhed synes at have rettet i 1.7.13, 1.8.4, 2.0.0-beta.4.
Rammerne indeholder en fejl, der gør det muligt for hackere at udføre vilkårlig kode på eksterne systemer. Fejlen påvirker Electron 1.7.13 og ældre, samt Electron 1.8.4 og 2.0.0-beta.3. Problemet stammer samspillet mellem Electron og node.js.
Тhe fejl tilladt nodeIntegration skal genaktiveres, fører til potentialet for fjernkørsel af programkode, Scarvell forklarede. Elektron-applikationer er hovedsagelig web apps, hvilket betyder, at de er modtagelige for cross-site scripting angreb gennem manglende sanitize brugerleveret input korrekt.
En standard Electron ansøgning omfatter adgang til ikke kun dens egne API'er, men omfatter også adgang til alle node.js’ bygget i moduler. Dette gør XSS særligt farlige, som en hackers nyttelast kan tillade gøre nogle grimme ting som kræver i child_process modul og udføre systemet kommandoer på klientsiden. Atom havde en XSS sårbarhed ikke så længe siden, der gjorde præcis det.
Adgang til node.js kan fjernes ved at passere nodeIntegration: falsk ind i den særlige applikationens webPreferences.
Her er en komplet liste over de desktop applikationer, der bruger rammen Electron:
- Atom
- CrashPlan
- Discord
- GitHub Desktop
- Keybase
- Lysbord
- Microsoft Teams
- Microsoft Visual Studio Code
- Microsoft SQL Operations Studio
- slack
- Skype
- Signal
- Twitch.tv
- Tråd
- Yammer
Som for alle de applikationer bygget med Electron, en anden liste er tilgængelig.
Antallet af ansøgninger, der er baseret på rammer Electron betyder, at der er et stort antal potentielle ofre for en CVE-2018-1000136-baserede angreb. Således, plasteret adressering fejlen bør gennemføres så hurtigt som muligt.