Elektron kritik güvenlik açığı uygulama geliştiricilerini etkiliyor

  • Sep 06, 2023

Bu tehlikeli hata, saldırganların popüler uygulama çerçevesi üzerinden uzaktan kod yürütmesine olanak tanıyor.

crednopsec.png
NopSec

Electron masaüstü uygulamalarını etkileyen kritik bir güvenlik açığı açıklandı.

Güvenlik

  • Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
  • Telefonunuzdaki casus yazılımları bulma ve kaldırma
  • En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
  • Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?

Elektron JavaScript, HTML ve CSS ile platformlar arası masaüstü uygulamalarının geliştirilmesi için oluşturulmuş bir node.js, V8 ve Chromium çerçevesidir.

Mac, Linux ve Windows işletim sistemleriyle uyumlu olan yakın zamanda keşfedilen hata yalnızca Windows'u etkiliyor.

kritik güvenlik açığı özel protokol işleyicileri kullanan Electron uygulamalarını etkiler. Tanımlayıcı atandı CVE-2018-1000006, güvenlik açığı, myapp:// gibi kendilerini bir protokolün varsayılan işleyicisi olarak kaydeden Electron uygulamalarında mevcuttur.

Protokolün nasıl kaydedildiğine (yerel kod, Windows kayıt defteri veya Electron'un app.setAsDefaultProtocolClient API'si) rağmen, uygulamalar hâlâ tehlikeye açık olabilir.

Bu güvenlik açığından yararlanılması durumunda saldırganların uzaktan kod yürütmesine olanak tanınıyor ve bu da potansiyel olarak uygulamanın ele geçirilmesine ve veri kaybına yol açıyor.

Elektron çerçevesi popülerdir ve yaygın olarak kullanılan çeşitli masaüstü uygulama hizmetleri tarafından. Kullanıcılar arasında Skype, Signal, Slack, Shopify ve Surf yer alıyor ancak geliştiricinin Electron protokollerini kullanması, bu uygulamaların kusura karşı savunmasız olup olmadığını belirliyor.

Güvenlik danışma belgesi, benimseyen uygulamaların kaçının varsayılan protokol işleyicisini kullandığını açıklamadı ve bu nedenle kaç uygulamanın veya kullanıcının etkilendiğini söylemek mümkün değil.

Ayrıca bakınız: NjRat, 2017 yılında en aktif ağ zararlı yazılımı olarak birinci sırayı aldı

Fakat, Cyberscoop'la konuşuyorumMicrosoft, Skype'ın en yeni sürümünün güvenlik açığını azalttığını ve dolayısıyla VoIP yazılımının güncel sürümüne sahip kullanıcıların risk altında olmayacağını doğruladı.

Electron, güvenlik açığını düzeltmek için çerçeveyi güncelledi ve geliştiricilere derhal güncelleme yapmaları çağrısında bulundu.

Yükseltme mümkün değilse, geliştiriciler çağrı sırasında son argüman olarak "--" ifadesini ekleyebilirler app.setAsDefaultProtocolClient, Chromium'un daha fazla seçeneği ayrıştırmasını ve hatanın ortadan kaldırılmasını engeller tetikleniyor.

Karanlık Web hakkında bilmediğiniz 10 şey

Önceki ve ilgili kapsam

  • Bilgisayar korsanları kripto para birimi ICO'larından neredeyse 400 milyon dolar çaldı
  • Hacker, Skype ve Google'a yönelik DDoS saldırılarından dolayı hapse atıldı
  • CFTC, Bitcoin saadet zinciri nedeniyle Girişimciler Genel Merkezi'ne dava açtı