>> サイバーニュース > Electron FrameworkのCVE-2018-1000136は、多くの人気のあるアプリを危険にさらします
サイバーニュース

Electron FrameworkのCVE-2018-1000136は、多くの人気アプリを危険にさらします

CVE-2018-1000136は、Skypeなどの一般的なアプリで使用されるElectronフレームワークのセキュリティ脆弱性の識別子です。, スラック, 信号, とWhatsApp. Electronフレームワークはオープンソースであり、GitHubによって作成および保守されています. 欠陥は 発見した TrustwaveのBrendanScarvellによる.

CVE-2018-1000136公式説明

電子バージョン 1.7 まで 1.7.12; 1.8 まで 1.8.3 と 2.0.0 2.0.0まで-beta.3には、リモートでコードが実行される可能性のあるWebviewsの値の不適切な処理の脆弱性が含まれています, MITREによると 説明.

関連記事: Skypeの重大なDLLハイジャックの欠陥はMicrosoftによってパッチされません

すなわち, この攻撃は、Webviewが有効か無効かを指定せずに、ノード統合を許可しないサードパーティコードの実行を許可するアプリを介して悪用される可能性があります. この脆弱性はで修正されたようです 1.7.13, 1.8.4, 2.0.0-beta.4.

フレームワークには、ハッカーがリモートシステムで任意のコードを実行することを可能にする欠陥が含まれています. 欠陥はエレクトロンに影響を与えます 1.7.13 以上, だけでなく、電子 1.8.4 および2.0.0-beta.3. この問題は、ElectronとNode.jsの間の相互作用に起因します.

この欠陥により、nodeIntegrationを再度有効にすることができました, リモートコード実行の可能性につながる, スカーベルは説明した. Electronアプリケーションは本質的にWebアプリです, つまり、ユーザーが入力した入力を正しくサニタイズできないため、クロスサイトスクリプティング攻撃を受けやすくなります。.

デフォルトのElectronアプリケーションには、独自のAPIだけでなくアクセスも含まれています, ただし、すべてのNode.jsへのアクセスも含まれます’ 組み込みモジュール. これにより、XSSは特に危険になります, 攻撃者のペイロードは、child_processモジュールでrequireを実行したり、クライアント側でシステムコマンドを実行したりするなど、厄介なことを実行できる可能性があるためです。. AtomにはXSSの脆弱性がありましたが、それはまさにそれを実現しました。.

nodeIntegrationを渡すことで、Node.jsへのアクセスを削除できます: 特定のアプリケーションのwebPreferencesにfalse.

これは、Electronフレームワークを使用するデスクトップアプリケーションの完全なリストです。:

  • 原子
  • CrashPlan
  • 不和
  • GitHubデスクトップ
  • キーベース
  • ライトテーブル
  • Microsoft Teams
  • Microsoft Visual Studio Code
  • Microsoft SQL Operations Studio
  • スラック
  • Skype
  • 信号
  • Twitch.tv
  • WhatsApp
  • ワイヤー
  • Yammer
関連記事: CVE-2018-0986: mpengine.dllの重大な欠陥がWindowsDefenderに影響を与える

Electronで構築されたすべてのアプリケーションについて, 別のリストは 利用可能.

Electronフレームワークに基づくアプリケーションの数は、CVE-2018-1000136ベースの攻撃の潜在的な犠牲者が非常に多いことを意味します. したがって, パッチ 欠陥への対処はできるだけ早く実施する必要があります.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します