Опасная уязвимость в Electron

Обнаружена опасная уязвимость в популярном инструменте для создания десктопных приложений Electron. На базе Electron работают такие приложения, как Microsoft Skype, редактор кода GitHub Atom, приложения для сервисов Slack, WordPress.com и другие.

Electron получил свою популярность за счёт того, что позволяет легко портировать веб-приложения, написанные на HTML и JavaScript, на десктоп. Приложения опираются на популярный движок Node.js.

Electron не предоставляет пользователям возможность использовать всю функциональность Node.js. Злоумышленники могут провести XSS-атаку, создав подконтрольное окно браузера и поменяв в нём настройки. Это позволит получить доступ ко всем возможностям Node.js и, при желании, выполнить произвольный код на компьютере жертвы.

Разработчики Signal уже сообщили, что их приложение не подвержено обнаруженной уязвимости.

Уязвимости подвержены версии Electron младше, чем 1.7.13, 1.8.4 или 2.0.0-beta.3. Уязвимости присвоен идентификатор CVE-2018-1000136.


Возврат к списку