Hjem > Cyber ​​Nyheder > CVE-2018-1000136 i Electron Framework sætter mange populære apps i fare
CYBER NEWS

CVE-2018-1000136 i Electron Framework Sætter Mange Populære apps i fare

CVE-2018-1000136 er identifikationen af ​​en sikkerhedsbrist i forbindelse Electron brugt i populære apps såsom Skype, slack, Signal, og WhatsApp. Den Electron rammer er open source og er skabt og vedligeholdt af GitHub. Fejlen var opdaget af Brendan Scarvell fra Trustwave.

CVE-2018-1000136 Officiel beskrivelse

Electron-version 1.7 op til 1.7.12; 1.8 op til 1.8.3 og 2.0.0 op til 2.0.0-beta.3 indeholder en forkert håndtering af værdier sårbarhed i Webviews der kan resultere i fjernkode, i henhold til Mitres beskrivelse.

relaterede Story: Svær DLL Kapring Fejl i Skype vil ikke blive lappet af Microsoft

Mere specifikt, dette angreb er udnyttes via en app, der giver mulighed for udførelse af tredjeparts kode udelukke node integration uden at have angivet, hvis WebView aktiveres / deaktiveres. Denne sårbarhed synes at have rettet i 1.7.13, 1.8.4, 2.0.0-beta.4.

Rammerne indeholder en fejl, der gør det muligt for hackere at udføre vilkårlig kode på eksterne systemer. Fejlen påvirker Electron 1.7.13 og ældre, samt Electron 1.8.4 og 2.0.0-beta.3. Problemet stammer samspillet mellem Electron og node.js.

Тhe fejl tilladt nodeIntegration skal genaktiveres, fører til potentialet for fjernkørsel af programkode, Scarvell forklarede. Elektron-applikationer er hovedsagelig web apps, hvilket betyder, at de er modtagelige for cross-site scripting angreb gennem manglende sanitize brugerleveret input korrekt.

En standard Electron ansøgning omfatter adgang til ikke kun dens egne API'er, men omfatter også adgang til alle node.js’ bygget i moduler. Dette gør XSS særligt farlige, som en hackers nyttelast kan tillade gøre nogle grimme ting som kræver i child_process modul og udføre systemet kommandoer på klientsiden. Atom havde en XSS sårbarhed ikke så længe siden, der gjorde præcis det.

Adgang til node.js kan fjernes ved at passere nodeIntegration: falsk ind i den særlige applikationens webPreferences.

Her er en komplet liste over de desktop applikationer, der bruger rammen Electron:

  • Atom
  • CrashPlan
  • Discord
  • GitHub Desktop
  • Keybase
  • Lysbord
  • Microsoft Teams
  • Microsoft Visual Studio Code
  • Microsoft SQL Operations Studio
  • slack
  • Skype
  • Signal
  • Twitch.tv
  • WhatsApp
  • Tråd
  • Yammer
relaterede Story: CVE-2018-0986: Kritisk Fejl i mpengine.dll Påvirker Windows Defender

Som for alle de applikationer bygget med Electron, en anden liste er tilgængelig.

Antallet af ansøgninger, der er baseret på rammer Electron betyder, at der er et stort antal potentielle ofre for en CVE-2018-1000136-baserede angreb. Således, plasteret adressering fejlen bør gennemføres så hurtigt som muligt.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig