Casa > Cyber ​​Notizie > CVE-2018-1000136 in Electron Framework mette a rischio molte app popolari
CYBER NEWS

CVE-2018-1000136 in Electron Framework mette molte applicazioni popolari a rischio

CVE-2018-1000136 è l'identificatore di una vulnerabilità di sicurezza nel quadro Electron utilizzato in applicazioni popolari come Skype, allentato, Segnale, e WhatsApp. Il quadro Electron è open-source e viene creato e mantenuto da GitHub. Il difetto era scoperto da Brendan Scarvell da Trustwave.

CVE-2018-1000136 Descrizione ufficiale

versione Electron 1.7 fino a 1.7.12; 1.8 fino a 1.8.3 e 2.0.0 fino a 2.0.0-beta.3 contiene un uso improprio di valori vulnerabilità Webviews che può portare a esecuzione di codice remoto, secondo il mitra descrizione.

Story correlati: Grave difetto DLL Hijacking Skype non saranno modificati da Microsoft

Più specificamente, questo attacco è sfruttabili tramite un'applicazione che permette l'esecuzione di codice di terze parti non consentire l'integrazione nodo senza aver specificato se webview è abilitata / disabilitata. Questa vulnerabilità sembra essere stato risolto in 1.7.13, 1.8.4, 2.0.0-beta.4.

Il quadro contiene un difetto che consente agli hacker di eseguire codice arbitrario su sistemi remoti. La falla interessa Electron 1.7.13 e più anziani, così come Electron 1.8.4 e 2.0.0-beta.3. Il problema nasce l'interazione tra elettroni e Node.js.

Тhe difetto permesso nodeIntegration per essere riattivato, conduce alla possibilità di esecuzione di codice remoto, Scarvell spiegato. applicazioni di elettroni sono essenzialmente applicazioni web, il che significa che essi sono suscettibili di attacchi cross-site scripting attraverso mancata sterilizzare correttamente l'input fornito dall'utente.

Un'applicazione predefinita Electron include accesso non solo le proprie API, ma comprende anche l'accesso a tutti Node.js’ costruita in moduli. Ciò rende particolarmente pericoloso XSS, come payload di un utente malintenzionato può consentire fare alcune cose brutte, come richiedono nel modulo child_process ed eseguire comandi di sistema sul lato client. Atom ha avuto una vulnerabilità XSS non troppo tempo fa, che ha fatto esattamente questo.

L'accesso ai Node.js può essere rimosso facendo passare nodeIntegration: falso in webPreferences particolare dell'applicazione.

Ecco un elenco completo delle applicazioni desktop che utilizzano il quadro Electron:

  • Atomo
  • CrashPlan
  • Discordia
  • GitHub Desktop
  • Keybase
  • Tavolo luminoso
  • Microsoft Squadre
  • Codice Microsoft Visual Studio
  • Microsoft SQL Operations Studio
  • allentato
  • Skype
  • Segnale
  • Twitch.tv
  • WhatsApp
  • Filo
  • cianciare
Story correlati: CVE-2018-0986: Un difetto critico nel mpengine.dll influisce Windows Defender

Come per tutte le applicazioni create con Electron, un altro elenco è a disposizione.

Il numero di applicazioni che si basano sul framework Electron significa che c'è un enorme numero di potenziali vittime di un attacco a base di CVE-2018-1.000.136. Così, la patch affrontare il difetto dovrebbe essere attuato il più presto possibile.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo