CVE-2018-1000136 è l'identificatore di una vulnerabilità di sicurezza nel quadro Electron utilizzato in applicazioni popolari come Skype, allentato, Segnale, e WhatsApp. Il quadro Electron è open-source e viene creato e mantenuto da GitHub. Il difetto era scoperto da Brendan Scarvell da Trustwave.
CVE-2018-1000136 Descrizione ufficiale
versione Electron 1.7 fino a 1.7.12; 1.8 fino a 1.8.3 e 2.0.0 fino a 2.0.0-beta.3 contiene un uso improprio di valori vulnerabilità Webviews che può portare a esecuzione di codice remoto, secondo il mitra descrizione.
Più specificamente, questo attacco è sfruttabili tramite un'applicazione che permette l'esecuzione di codice di terze parti non consentire l'integrazione nodo senza aver specificato se webview è abilitata / disabilitata. Questa vulnerabilità sembra essere stato risolto in 1.7.13, 1.8.4, 2.0.0-beta.4.
Il quadro contiene un difetto che consente agli hacker di eseguire codice arbitrario su sistemi remoti. La falla interessa Electron 1.7.13 e più anziani, così come Electron 1.8.4 e 2.0.0-beta.3. Il problema nasce l'interazione tra elettroni e Node.js.
Тhe difetto permesso nodeIntegration per essere riattivato, conduce alla possibilità di esecuzione di codice remoto, Scarvell spiegato. applicazioni di elettroni sono essenzialmente applicazioni web, il che significa che essi sono suscettibili di attacchi cross-site scripting attraverso mancata sterilizzare correttamente l'input fornito dall'utente.
Un'applicazione predefinita Electron include accesso non solo le proprie API, ma comprende anche l'accesso a tutti Node.js’ costruita in moduli. Ciò rende particolarmente pericoloso XSS, come payload di un utente malintenzionato può consentire fare alcune cose brutte, come richiedono nel modulo child_process ed eseguire comandi di sistema sul lato client. Atom ha avuto una vulnerabilità XSS non troppo tempo fa, che ha fatto esattamente questo.
L'accesso ai Node.js può essere rimosso facendo passare nodeIntegration: falso in webPreferences particolare dell'applicazione.
Ecco un elenco completo delle applicazioni desktop che utilizzano il quadro Electron:
- Atomo
- CrashPlan
- Discordia
- GitHub Desktop
- Keybase
- Tavolo luminoso
- Microsoft Squadre
- Codice Microsoft Visual Studio
- Microsoft SQL Operations Studio
- allentato
- Skype
- Segnale
- Twitch.tv
- Filo
- cianciare
Come per tutte le applicazioni create con Electron, un altro elenco è a disposizione.
Il numero di applicazioni che si basano sul framework Electron significa che c'è un enorme numero di potenziali vittime di un attacco a base di CVE-2018-1.000.136. Così, la patch affrontare il difetto dovrebbe essere attuato il più presto possibile.