Найденная уязвимость в Electron. Затрагиваются Skype, Discord и другие приложения
Найденная уязвимость в Electron. Затрагиваются Skype, Discord и другие приложения
Найденная уязвимость в Electron. Затрагиваются Skype, Discord и другие приложения
Обнаружена уязвимость во фреймворке Electron, затрагивающая такие приложения, как Skype и Visual Studio Code от Microsoft, среда разработки Atom, браузер Brave, а также официальные десктопные клиенты Signal, Twitch, Discord, Slack, Ghost, WordPress и многие другие. Уязвимость получила идентификатор CVE-2018-1000136.
Согласно статистике, Electron стал популярным фреймворком среди разработчиков за последние несколько лет. Он позволяет использовать Node.js для бэкенда и Chromium для фронтенда в нативных приложениях для настольных операционных систем. Node.js дает больше возможностей интеграции с ОС и позволяет воспользоваться дополнительными функциями системы.
Разработчики создали механизм для предотвращения атак на приложения. У проектов, запускающих JavaScript и HTML на десктопе, переменная nodeIntegration имеет значение false по умолчанию. При этом WebView загружает скрипты, к которым не должно быть доступа при отключенной интеграции с Node.js.
В компании рассказали, что злоумышленник может воспользоваться опцией nodeIntegration и изменить ее значение на true, предоставив себе доступ к API Node.js.
Исследователь Брендан Скарвелл (Brendan Scarvell) сообщил, что, если разработчики не включили в конфигурационный файл webviewTag: false, хакер может воспользоваться межсайтовым скриптингом (XSS) для создания нового компонента webview и установить nodeIntegration: true.
Брендан Скарвелл опубликовал соответствующий код, показывающий, что злоумышленник может воспользоваться любой XSS-уязвимостью и получить доступ к системе.
