CVE-2018-1000136 is de identifier van een beveiligingslek in het Electron kader gebruikt in de populaire apps zoals Skype, speling, Signaal, en WhatsApp. De Electron framework is open-source en wordt gemaakt en onderhouden door GitHub. De fout was ontdekt door Brendan Scarvell van Trustwave.
CVE-2018-1000136 Officiële Beschrijving
Electron versie 1.7 tot 1.7.12; 1.8 tot 1.8.3 en 2.0.0 tot 2.0.0-beta.3 bevat een onjuist gebruik van waarden kwetsbaarheid Webviews die kunnen leiden tot uitvoering van externe code, volgens MITRE's beschrijving.
Specifieker, Deze aanval is misbruikt via een applicatie die uitvoeren van code van derden niet toestaan knooppunt integratie toelaat zonder dat gespecificeerd wanneer webview is ingeschakeld / uitgeschakeld. Deze kwetsbaarheid lijkt in te vast zijn 1.7.13, 1.8.4, 2.0.0-beta.4.
Het raamwerk bevat een fout waarmee hackers om willekeurige code op externe systemen voeren. De kwetsbaarheid heeft betrekking op Electron 1.7.13 en oudere, evenals Electron 1.8.4 en 2.0.0-beta.3. Het probleem komt voort de interactie tussen Electron en Node.js.
Ð ¢ he fout toegestaan nodeIntegration opnieuw worden ingeschakeld, leidt tot de mogelijkheid van externe code, Scarvell uitgelegd. Electron toepassingen zijn in wezen web apps, wat betekent dat ze gevoelig zijn voor cross-site scripting aanvallen door middel van het niet correct te ontsmetten-user input geleverd.
Een default Electron applicatie bevat niet alleen toegang tot zijn eigen APIs, maar ook toegang tot alle Node.js’ ingebouwde modules. Dit maakt XSS bijzonder gevaarlijk, als payload van een aanvaller kan toestaan doen een aantal vervelende dingen, zoals vereist in de child_process module en uit te voeren systeem commando's op de client-side. Atom had een XSS kwetsbaarheid niet al te lang geleden, die precies dat deed.
Toegang tot Node.js kunnen worden verwijderd door nodeIntegration: false in WebPreferences de specifieke toepassing.
Hier is een volledige lijst van de desktop-toepassingen die de Electron kader te gebruiken:
- Atoom
- CrashPlan
- Onenigheid
- GitHub Desktop
- Keybase
- Light Table
- Microsoft Teams
- Microsoft Visual Studio Code
- Microsoft SQL Operations Studio
- speling
- Skype
- Signaal
- Twitch.tv
- Draad
- Yammer
Zoals voor alle applicaties gebouwd met Electron, een andere lijst is beschikbaar.
Het aantal applicaties die zijn gebaseerd op de Electron kader betekent dat er een enorm aantal potentiële slachtoffers van een CVE-2018-1000136-gebaseerde aanval. Zo, de patch het aanpakken van de zwakke plek moet zo snel worden uitgevoerd als mogelijk.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: