CVE-2018-1000136 é o identificador de uma vulnerabilidade de segurança na estrutura Electron usada em aplicativos populares como o Skype, negligente, Sinal, e WhatsApp. A estrutura Electron é de código aberto e é criada e mantida pelo GitHub. A falha foi descoberto por Brendan Scarvell da Trustwave.
CVE-2018-1000136 Descrição Oficial
Versão eletrônica 1.7 até 1.7.12; 1.8 até 1.8.3 e 2.0.0 até 2.0.0-beta.3 contém uma vulnerabilidade de manipulação inadequada de valores em visualizações da Web que pode resultar na execução remota de código, de acordo com o MITRE descrição.
Mais especificamente, este ataque é explorável por meio de um aplicativo que permite a execução de código de terceiros, não permitindo a integração de nós sem especificar se o webview está ativado/desativado. Esta vulnerabilidade parece ter sido corrigida em 1.7.13, 1.8.4, 2.0.0-beta.4.
A estrutura contém uma falha que permite que hackers executem código arbitrário em sistemas remotos. A falha afeta o Elétron 1.7.13 e mais velhos, assim como o elétron 1.8.4 e 2.0.0-beta.3. O problema decorre da interação entre Electron e Node.js.
A falha permitiu que o nodeIntegration fosse reativado, levando ao potencial de execução remota de código, Scarvell explicou. Aplicativos eletrônicos são essencialmente aplicativos da web, o que significa que eles são suscetíveis a ataques de script entre sites por falha na limpeza correta da entrada fornecida pelo usuário.
Um aplicativo Electron padrão inclui acesso não apenas a suas próprias APIs, mas também inclui acesso a todos os Node.js’ módulos embutidos. Isso torna o XSS particularmente perigoso, como a carga útil de um invasor pode permitir fazer algumas coisas desagradáveis, como exigir no módulo child_process e executar comandos do sistema no lado do cliente. Atom tinha uma vulnerabilidade XSS não muito tempo atrás que fez exatamente isso.
O acesso ao Node.js pode ser removido passando nodeIntegration: false nas webPreferences do aplicativo específico.
Aqui está uma lista completa dos aplicativos de desktop que usam a estrutura Electron:
- Átomo
- CrashPlan
- Discórdia
- GitHub Desktop
- Base de chave
- Mesa de luz
- Microsoft Teams
- Código do Microsoft Visual Studio
- Estúdio de Operações Microsoft SQL
- negligente
- Skype
- Sinal
- Twitch.tv
- Fio
- Yammer
Como para todos os aplicativos construídos com Electron, outra lista é acessível.
O número de aplicativos baseados na estrutura Electron significa que há um grande número de vítimas em potencial de um ataque baseado em CVE-2018-1000136. portanto, o remendo resolver a falha deve ser implementado o mais rápido possível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: