Созданные с помощью Electron приложения уязвимы к удаленному выполнению кода
Разработчикам Windows-приложений рекомендуется проверить, не подвержена ли используемая ими версия фреймворка Electron недавно обнаруженной уязвимости, позволяющей удаленное выполнение кода.
Electron позволяет разработчикам создавать приложения для настольных ОС с использованием web-технологий (JavaScript, HTML и CSS). Фреймворк включает в себя Node.js для работы с back-end и библиотеку рендеринга из Chromium. Electron используется в реализациях Skype, Slack, Signal, Basecamp и др. Пользователям Slack рекомендуется обновиться до версии 3.0.3 или выше. Согласно заявлению Microsoft, последнюю версию Skype для Windows проблема не затрагивает.
В настоящее время команда Electron не раскрывает все подробности об уязвимости (CVE-2018-1000006). Однако известно, что она затрагивает приложения для Windows, использующие в фреймворке кастомизированные обработчики протоколов.
«Windows-приложения на базе Electron, регистрирующие себя как дефолтный обработчик протокола, например, myapp://, являются уязвимыми. […] Такие приложения могут быть уязвимы независимо от того, как зарегистрирован протокол – с помощью нативного кода, реестра Windows или app.setAsDefaultProtocolClient API», – говорится в уведомлении Electron.
Команда Electron уже выпустила исправленные версии фреймворка – 1.8.2-beta.4, 1.7.11 и 1.6.16. Если установить обновление по каким-либо причинам не представляется возможным, разработчики могут добавить — в качестве последнего аргумента при вызове app.setAsDefaultProtocolClient, что предотвратит анализ Chromium дальнейших опций. Проблема не затрагивает macOS и Linux.
Источник: securitylab.ru
Еще никто не комментировал данный материал.
Написать комментарий