CVE-2018-1000136 est l'identifiant d'une vulnérabilité de sécurité dans le cadre électronique utilisé dans des applications populaires telles que Skype, Mou, Signal, et WhatsApp. Le cadre électronique est open-source et est créé et maintenu par GitHub. Le défaut était découvert par Brendan Scarvell de Trustwave.
CVE-2018-1000136 Description officielle
Version électronique 1.7 Jusqu'à 1.7.12; 1.8 Jusqu'à 1.8.3 et 2.0.0 jusqu'à 2.0.0-beta.3 contient une mauvaise manipulation des valeurs vulnérabilité dans Webviews qui peut conduire à l'exécution de code à distance, selon MITER de description.
Plus précisement, cette attaque est exploitable par l'intermédiaire d'une application qui permet l'exécution de code tiers interdisant l'intégration de noeud sans avoir spécifié si webview est activé / désactivé. Cette vulnérabilité semble avoir été fixée dans 1.7.13, 1.8.4, 2.0.0-beta.4.
Le cadre contient une faille qui permet aux pirates d'exécuter du code arbitraire sur les systèmes distants. Le défaut affecte électronique 1.7.13 et plus, ainsi que Electron 1.8.4 et 2.0.0-beta.3. Le problème vient de l'interaction entre les électrons et Node.js.
Тhe défaut permis nodeIntegration d'être réactivée, conduisant à la possibilité d'exécution de code à distance, Scarvell expliqué. applications Electron sont essentiellement des applications web, ce qui signifie qu'ils sont sensibles aux attaques de cross-site scripting par défaut d'aseptiser correctement entrée fournie par l'utilisateur.
Une application par défaut électronique inclut l'accès à non seulement ses propres API, mais comprend également l'accès à tous Node.js’ construit en modules. Cela rend particulièrement dangereux XSS, comme cela peut permettre de faire des choses désagréables de la charge utile d'un attaquant, comme besoin dans le module child_process et exécuter des commandes système sur le côté client. Atom avait une vulnérabilité XSS pas trop longtemps, qui a fait exactement cela.
L'accès à Node.js peut être éliminé par passage nodeIntegration: faux dans les WebPreferences de l'application particulière.
Voici une liste complète des applications de bureau qui utilisent le cadre électronique:
- Atome
- CrashPlan
- Discorde
- bureau GitHub
- Keybase
- Lampe de table
- Les équipes Microsoft
- Code de Microsoft Visual Studio
- Microsoft Operations SQL Studio
- Mou
- Skype
- Signal
- Twitch.tv
- Câble
- Geindre
En ce qui concerne toutes les applications construites avec Electron, une autre liste est disponible.
Le nombre d'applications basées sur le cadre électronique signifie qu'il ya un grand nombre de victimes potentielles d'une attaque à base CVE-2018-1000136. Ainsi, le patch adressage devrait être mis en œuvre le défaut le plus tôt possible.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: