CVE-2018-1000136 es el identificador de una vulnerabilidad de seguridad en el marco de electrones utilizado en aplicaciones populares como Skype, Flojo, Señal, y WhatsApp. El marco de electrones es de código abierto y es creado y mantenido por GitHub. La falla fue descubierto por Brendan Scarvell de Trustwave.
CVE-2018-1000136 Descripción oficial
versión electrónica 1.7 hasta 1.7.12; 1.8 hasta 1.8.3 y 2.0.0 hasta 2.0.0-beta.3 contiene un manejo inadecuado de la vulnerabilidad en los valores webviews que puede resultar en la ejecución remota de código, de acuerdo con MITRE descripción.
Más específicamente, este ataque es explotable a través de una aplicación que permite la ejecución de código de terceros no permitir la integración del nodo sin haber especificado si se habilita vista web / desactivado. Esta vulnerabilidad parece haber sido fijado en 1.7.13, 1.8.4, 2.0.0-beta.4.
El marco contiene un error que permite a los atacantes ejecutar código arbitrario en los sistemas remotos. La falla afecta Electrón 1.7.13 y mayores, así como de electrones 1.8.4 y 2.0.0-beta.3. El problema se deriva de la interacción entre Electron y Node.js.
Тhe nodeIntegration defecto permitido que se vuelva a activar, dando lugar a la posibilidad de ejecución remota de código, Scarvell explicó. aplicaciones de electrones son esencialmente aplicaciones web, lo que significa que son susceptibles a ataques entre sitios de secuencias de comandos a través del fracaso para desinfectar correctamente de entrada proporcionada por el usuario.
Una aplicación de electrones por defecto incluye el acceso a no sólo sus propias APIs, sino que también incluye el acceso a todas Node.js’ construido en módulos. Esto hace particularmente peligroso XSS, como la carga útil de un atacante puede permitir hacer algunas cosas desagradables tales como requerir en el módulo child_process y ejecutar comandos del sistema en el lado del cliente. No hace átomo tenía una vulnerabilidad XSS demasiado tiempo, que hizo exactamente eso.
El acceso a Node.js puede eliminarse pasando nodeIntegration: falsa en WebPreferences de la aplicación particular.
Aquí está una lista completa de las aplicaciones de escritorio que utilizan el marco de electrones:
- Átomo
- CrashPlan
- Discordia
- GitHub escritorio
- Keybase
- Mesa ligera
- Equipos de Microsoft
- Los programas de Microsoft Visual Studio
- Microsoft SQL Operaciones Estudio
- Flojo
- Skype
- Señal
- Twitch.tv
- Cable
- Quejarse
En cuanto a todas las aplicaciones construidas con electrones, es otra lista disponible.
El número de aplicaciones que se basa en el marco de electrones significa que hay un gran número de posibles víctimas de un ataque basado en CVE-2018-1.000.136. Por lo tanto, el parche abordar la falla se debe implementar tan pronto como sea posible.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: