CVE-2018-1000136 ist die Kennung einer Sicherheitslücke im Rahmen Electron in populären Anwendungen verwendet wie Skype, Locker, Signal, und WhatsApp. Die Elektronen Rahmen ist Open-Source und wird erstellt und gepflegt von GitHub. Der Fehler war entdeckt von Brendan Scarvell von Trust.
CVE-2018-1000136 Offizielle Beschreibung
Electron Version 1.7 bis zu 1.7.12; 1.8 bis zu 1.8.3 und 2.0.0 bis zu 2.0.0-beta.3 enthält eine unsachgemäße Handhabung von Werten Verwundbarkeit in Webviews, die in Remotecodeausführung führen können, nach Mitres Beschreibung.
Genauer, Dieser Angriff ist ausnutzbar über eine app, die ohne Knoten Integration disallowing Ausführung Dritter-Code ermöglicht, wenn mit spezifizierten webview aktiviert / deaktiviert wird,. Diese Sicherheitsanfälligkeit scheint behoben wurden in 1.7.13, 1.8.4, 2.0.0-beta.4.
Das Framework enthält einen Fehler, Hacker beliebigen Code auf entfernten Systemen ausführen können. Der Fehler betrifft Electron 1.7.13 und älter, sowie Electron 1.8.4 und 2.0.0-beta.3. Das Problem ergibt sich die Wechselwirkung zwischen Elektron und Node.js.
Der Erbauer der Fehler erlaubt nodeIntegration werden wieder aktiviert, was zu dem Potential für eine Remotecodeausführung, Scarvell erklärt. Electron-Anwendungen sind im Wesentlichen Web-Anwendungen, was bedeutet, dass sie für Cross-Site-Scripting-Attacken durch störanfällig sind Benutzereingaben richtig sanieren.
Eine Standard-Electron-Anwendung beinhaltet den Zugang zu nicht nur ihre eigenen APIs, sondern auch Zugang zu allen Node.js’ in Modulen. Dies macht XSS besonders gefährlich, Als Nutzlast einige böse Dinge tun lassen können Angreifer wie erforderlich im child_process Modul- und Systembefehle ausführen, auf der Client-Seite. Atom hatte eine XSS-Schwachstelle nicht allzu lange her, das tat genau das,.
Der Zugang zu Node.js kann, indem nodeIntegration entfernt werden: falsch in die WebPreferences der jeweiligen Anwendung.
Hier ist eine vollständige Liste der Desktop-Anwendungen, die die Elektronen Framework verwenden:
- Atom
- Crashplan
- Zwietracht
- GitHub-Desktop
- Keybase
- Leuchttisch
- Microsoft Teams
- Microsoft Visual Studio-Code
- Microsoft SQL-Operationen Studio
- Locker
- Skype
- Signal
- Twitch.tv
- Draht
- Jammern
Wie für alle mit Electron gebaut Anwendungen, eine andere Liste ist erhältlich.
Die Anzahl der Anwendungen, die auf dem Elektron Rahmen basieren bedeutet, dass es eine große Anzahl von potentiellen Opfern eines CVE-2018-1000136-Angriff. So, der Patch den Fehler Adressierung sollte so bald wie möglich umgesetzt werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: