Fermer

mai 14, 2018

Les applications Electron multiplateformes peuvent être vulnérables aux attaques. mettez à jour le vôtre maintenant



Electron est un framework populaire pour la construction d'applications bureautiques multiplateformes utilisant des technologies web. L'outil a été créé par GitHub, et est la base de plusieurs applications populaires comme Slack, Visual Studio Code, Discord, et l'éditeur de texte Atom.

Et jusqu'à très récemment, il souffrait d'une vulnérabilité qui aurait pu permettre à un adversaire de exécuter son propre code arbitraire sur l'ordinateur d'une victime.

"75% de l'écosystème numérique européen est présent à # TNW2018"

Travaillez-vous à Amsterdam en mai?

La vulnérabilité, CVE-2018 -1000136 a été repéré par le chercheur en sécurité à l'œil d'aigle de Trustwave, Brendan Scarvell . Il affecte les versions d'Electron en dessous de 1.7.13, 1.8.4 ou 2.0.0-beta.3. Heureusement, l'équipe d'Electron a publié un correctif, même si c'est à des développeurs individuels de l'implémenter.

Comment ça marche

Les applications électroniques sont construites avec HTML, CSS et JavaScript. Si le développeur le souhaite, ils peuvent également intégrer leur application avec Node.js, ce qui permet à l'application d'accéder à des parties de niveau inférieur du système. Avec Node, par exemple, l'application pourrait exécuter ses propres commandes shell.

Certaines applications qui n'ont pas besoin d'accéder à Node l'ont désactivée par défaut. Mais ce que Scarvell a découvert est un moyen de le réactiver dans une circonstance particulière.

Toutes les applications Electron ont un fichier de configuration. Enterré dans ceci est un attribut appelé nodeIngration . Lorsque ce paramètre est défini sur false, l'accès à l'API Node.js et aux modules est désactivé par défaut.

A ce jour, avec moi? Super, parce que c'est ici que ça devient un peu compliqué.

Il y a un attribut séparé appelé webviewTag . Cela contrôle le comportement de WebView, qui permet à une application Electron d'intégrer une page Web distincte.

Si webviewTag est défini sur false, il désactive également nodeIngration . Si elle n'a pas été définie, implicitement par défaut à false, juste pour être du bon côté.

Scarvell a essentiellement compris qu'un attaquant pourrait exploiter une vulnérabilité de script inter-site (rappelez-vous que les applications Electron sont essentiellement web applications, et sont donc probablement en proie à de tels problèmes) pour créer un nouvel élément WebView.

Ici, l'attaquant serait capable de créer ses propres permissions, et passer nodeIntegration à True . Vous pouvez lire les détails plus précis sur la divulgation de la vulnérabilité sur les sites Web de Trustwave.

Mettez à jour vos fichiers

Electron est partout. Sa popularité découle du fait qu'il permet aux développeurs de créer des applications natives, sans avoir à se brancher à partir des technologies Web avec lesquelles ils sont intimement familiers.

Comme mentionné, il est utilisé dans certaines applications que vous utilisez probablement en ce moment : Slack, Atom, Skype, Github Desktop, et plus encore.

Suivant Scarvell a informé l'équipe d'Electron du problème il y a plusieurs mois et une mise à jour du logiciel a été publiée en mars. Il incombe maintenant aux fournisseurs individuels d'intégrer ce correctif dans leur application.

Les utilisateurs doivent également être vigilants. Si vous utilisez une application basée sur Electron, assurez-vous que vous utilisez la dernière version – ou mieux encore, ayez des mises à jour automatiques activées, si elles sont disponibles.

La conférence 2018 du Next Web est à quelques jours , et ce sera ??. Découvrez tout sur nos pistes ici .

Lire la suite:

La nouvelle analyse ADN permet à la police de découvrir qui ne l'a certainement pas fait

Le meilleur outil 2023 pour ta croissance Instagram !



Source link