Созданные с помощью Electron приложения уязвимы к удаленному выполнению кода

Apollon
Оффлайн

Apollon

Заблокирован
Регистрация
07.09.17
Сообщения
5.309
Реакции
1.010
Репутация
1.625
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach

Проблема затрагивает Windows-приложения, использующие кастомизированные обработчики протоколов.

Разработчикам Windows-приложений рекомендуется проверить, не подвержена ли используемая ими версия фреймворка Electron недавно обнаруженной уязвимости, позволяющей удаленное выполнение кода.

Electron позволяет разработчикам создавать приложения для настольных ОС с использованием web-технологий (JavaScript, HTML и CSS). Фреймворк включает в себя Node.js для работы с back-end и библиотеку рендеринга из Chromium. Electron используется в реализациях Skype, Slack, Signal, Basecamp и др. Пользователям Slack рекомендуется обновиться до версии 3.0.3 или выше. Согласно заявлению Microsoft, последнюю версию Skype для Windows проблема не затрагивает.

В настоящее время команда Electron не раскрывает все подробности об уязвимости (CVE-2018-1000006). Однако известно, что она затрагивает приложения для Windows, использующие в фреймворке кастомизированные обработчики протоколов.

«Windows-приложения на базе Electron, регистрирующие себя как дефолтный обработчик протокола, например, myapp://, являются уязвимыми. […] Такие приложения могут быть уязвимы независимо от того, как зарегистрирован протокол – с помощью нативного кода, реестра Windows или app.setAsDefaultProtocolClient API», –говоритсяв уведомлении Electron.

Команда Electron уже выпустила исправленные версии фреймворка – 1.8.2-beta.4, 1.7.11 и 1.6.16. Если установить обновление по каким-либо причинам не представляется возможным, разработчики могут добавить -- в качестве последнего аргумента при вызове app.setAsDefaultProtocolClient, что предотвратит анализ Chromium дальнейших опций. Проблема не затрагивает macOS и Linux.
 
Сверху Снизу