Авторизация:


Сообщество людей и технологий
Сегодня у нас: год

Уже есть аккаунт? Войти
Присоединяйся к нашему гик сообществу!

Создай свой блог, делись интересной информацией из мира высоких технологий.

Из-за уязвимости в Electron под угрозой оказались Skype, Slack, WhatsApp, Discord и другие
Статьи, 10-02-2018, 03:40

Из-за уязвимости в Electron под угрозой оказались Skype, Slack, WhatsApp, Discord и другие

Специалист компании Trustwave Брендан Скарвелл (Brendan Scarvell) обнаружил опасную уязвимость (CVE-2018-1000136) в составе опенсорсного фреймворка Electron. Баг допускает удаленное исполнение произвольного кода. Из-за этого десятки приложений, в состав которых входит Electron, оказались под угрозой. Среди них: Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord, Twitch, браузер Brave и WordPress.com, а также многие другие.

«Приложения Electron, в основном, представляют собой веб-приложения, а значит, они чувствительны к XSS (cross-site scripting) атакам из-за некорректной очистки полученных от пользователя данных. По умолчанию Electron-приложения представляют доступ не только к своим собственным API, но также позволяют получить доступ ко всем встроенным модулям Node.js. Из-за этого XSS-атака становится особенно опасной, ведь полезная нагрузка атакующего может исполнить совсем неприятные вещи, например, запросить модуль child_process и выполнить системные команды на клиентской стороне, — рассказывает Скарвелл в блоге компании. — Вы можете отозвать доступ для Node.js, установив nodeIntegration на значение false в webPreferences своего приложения».

При этом эксперт подчеркивает, что если приложение уязвимо перед XSS, и ряд настроек в webPreferences не установлены вручную, злоумышленник имеет возможность вновь активировать nodeIntegration и осуществить атаку. В блоге Trustwave был опубликован proof-of-concept эксплоит.

Скарвелл уведомил разработчиков Electron о проблеме еще в начале текущего года, после чего в марте было выпущено исправление, устраняющее уязвимость (версии 1.7.13, 1.8.4 и 2.0.0-beta.4). Кроме того, сообщается, что уязвимость не представляет угрозы для мессенджера Signal и браузера Brave.


Добавьте комментарий, Ваше мнение очень важно:

Имя:*
E-Mail:
Комментарий:
Вопрос:
rgjrg
Ответ:*
Введите код: *


Самое интересное:
Гику на заметку:
Не iPhone самый продаваемый телефон в истории
Новый планшет BlackBerry PlayBook
Особенности ремонта айфонов своими руками
Переделка дачи
Как выбрать недорогой смартфон
Зависимость от... мобильного телефона и телевизора
Востребованные чехлы для ipone 4
Apple. Истинный лидер или дань моде?
Чехлы для смартфонов и айфонов
Вопрос:

Какую мобильную ОС Вы предпочитаете?

Android
iOS
Windows Phone
Другая
Нет ОС

 


2019 © Cig-bc.ru - Сообщество людей и технологий.

Все права защищены.

При цитировании любых материалов, публикуемых в журнале, обязательна ссылка, помещенная не ниже первого абзаца текста. При копировании новостных материалов для интернет-изданий обязательна прямая открытая для поисковых систем гиперссылка, размещаемая вне зависимости от объема используемых материалов (полного или частичного). Рекламная статья со ссылкой на ваш ресурс/продукт — 500 рублей/1000 символов (статья будет висеть вечно, в качестве обзорной). Для заказа пишите на sales@elenazavyalova.ru!

Категории:

Новости IT
Гаджеты
Железо
Софт
Игры
Информация:

О проекте
Регистрация
Статистика
Карта сайта
RSS
Контакт:

Обратная связь
Email: admin@cig-bc.ru
Email: sotnik200854@gmail.com