CVE-2018-1000136は、Skypeなどの一般的なアプリで使用されるElectronフレームワークのセキュリティ脆弱性の識別子です。, スラック, 信号, とWhatsApp. Electronフレームワークはオープンソースであり、GitHubによって作成および保守されています. 欠陥は 発見した TrustwaveのBrendanScarvellによる.
CVE-2018-1000136公式説明
電子バージョン 1.7 まで 1.7.12; 1.8 まで 1.8.3 と 2.0.0 2.0.0まで-beta.3には、リモートでコードが実行される可能性のあるWebviewsの値の不適切な処理の脆弱性が含まれています, MITREによると 説明.
すなわち, この攻撃は、Webviewが有効か無効かを指定せずに、ノード統合を許可しないサードパーティコードの実行を許可するアプリを介して悪用される可能性があります. この脆弱性はで修正されたようです 1.7.13, 1.8.4, 2.0.0-beta.4.
フレームワークには、ハッカーがリモートシステムで任意のコードを実行することを可能にする欠陥が含まれています. 欠陥はエレクトロンに影響を与えます 1.7.13 以上, だけでなく、電子 1.8.4 および2.0.0-beta.3. この問題は、ElectronとNode.jsの間の相互作用に起因します.
この欠陥により、nodeIntegrationを再度有効にすることができました, リモートコード実行の可能性につながる, スカーベルは説明した. Electronアプリケーションは本質的にWebアプリです, つまり、ユーザーが入力した入力を正しくサニタイズできないため、クロスサイトスクリプティング攻撃を受けやすくなります。.
デフォルトのElectronアプリケーションには、独自のAPIだけでなくアクセスも含まれています, ただし、すべてのNode.jsへのアクセスも含まれます’ 組み込みモジュール. これにより、XSSは特に危険になります, 攻撃者のペイロードは、child_processモジュールでrequireを実行したり、クライアント側でシステムコマンドを実行したりするなど、厄介なことを実行できる可能性があるためです。. AtomにはXSSの脆弱性がありましたが、それはまさにそれを実現しました。.
nodeIntegrationを渡すことで、Node.jsへのアクセスを削除できます: 特定のアプリケーションのwebPreferencesにfalse.
これは、Electronフレームワークを使用するデスクトップアプリケーションの完全なリストです。:
- 原子
- CrashPlan
- 不和
- GitHubデスクトップ
- キーベース
- ライトテーブル
- Microsoft Teams
- Microsoft Visual Studio Code
- Microsoft SQL Operations Studio
- スラック
- Skype
- 信号
- Twitch.tv
- ワイヤー
- Yammer
Electronで構築されたすべてのアプリケーションについて, 別のリストは 利用可能.
Electronフレームワークに基づくアプリケーションの数は、CVE-2018-1000136ベースの攻撃の潜在的な犠牲者が非常に多いことを意味します. したがって, パッチ 欠陥への対処はできるだけ早く実施する必要があります.