DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
CVE-2018-15685: Lỗ hổng ảnh hưởng đến các ứng dụng phổ biến được viết trên nền tảng Electron JS
Một lỗ hổng thực thi mã từ xa nghiêm trọng trong Electron - một nền tảng ứng dụng web phổ biến có mặt trên hàng nghìn ứng dụng cho máy tính được sử dụng rất rộng rãi như Skype, Signal,Wordpress và Slack – vừa được phát hiện.
Electron là nền tảng mã nguồn mở được phát triển dựa trên Node.js và Chromium Engine, cho phép nhà phát triển xây dựng các ứng dụng desktop đa nền tảng trên Windows, macOS và Linux mà không cần kiến thức về các ngôn ngữ lập trình của từng nền tảng này.
Lỗ hổng CVE-2018-15685 ảnh hưởng đến Electron versions (3.0.0-beta.6, 2.0.7, 1.8.7, và 1.7.15).
Bạn bị ảnh hưởng nếu:
Bạn bị ảnh hưởng nếu bất kỳ mã người dùng nào chạy bên trong iframe / có thể tạo iframe. Do khả năng có lỗ hổng XSS, có thể giả định rằng hầu hết các ứng dụng đều dễ bị tấn công trong trường hợp này.
Bạn cũng bị ảnh hưởng nếu mở bất kỳ cửa sổ nào bằng tùy chọn nativeWindowOpen: true hoặc sandbox: true. Mặc dù lỗ hổng này cũng yêu cầu lỗ hổng XSS tồn tại trong ứng dụng của bạn, bạn vẫn nên áp dụng một trong các biện pháp giảm nhẹ bên dưới nếu bạn sử dụng một trong các tùy chọn này.
Cách khắc phục
Đội ngũ phát triển Electron đã phát hành hai phiên bản mớii3.0.0-beta.7, 2.0.8, 1.8.8, và 1.7.16 để vá lỗ hổng nghiêm trọng này.
Công ty này cho biết: “Nếu vì một số lý do bạn không thể nâng cấp phiên bản Electron của mình, bạn có thể bảo vệ ứng dụng của mình bằng sự kiện gọi event.preventDefault() trên sự kiện new-window cho tất cả các webContents. Nếu bạn không sử dụng window.open hoặc bất kỳ cửa sổ con nào thì đây cũng là một sự giảm nhẹ hợp lệ cho ứng dụng của bạn."
Theo các chuyên gia, người dùng cuối không thể làm gì với lỗ hổng này, thay vào đó, các nhà phát triển dùng nền tảng Electron JS phải nâng cấp các ứng dụng của mình ngay lập tức để bảo vệ cơ sở dữ liệu người dùng.
Electron là nền tảng mã nguồn mở được phát triển dựa trên Node.js và Chromium Engine, cho phép nhà phát triển xây dựng các ứng dụng desktop đa nền tảng trên Windows, macOS và Linux mà không cần kiến thức về các ngôn ngữ lập trình của từng nền tảng này.
Lỗ hổng CVE-2018-15685 ảnh hưởng đến Electron versions (3.0.0-beta.6, 2.0.7, 1.8.7, và 1.7.15).
Bạn bị ảnh hưởng nếu:
- Bạn nhúng bất kỳ nội dung người dùng từ xa nào, ngay cả trong sandbox
- Tồn tại một lỗ hổng XSS trong ứng dụng của bạn
Bạn bị ảnh hưởng nếu bất kỳ mã người dùng nào chạy bên trong iframe / có thể tạo iframe. Do khả năng có lỗ hổng XSS, có thể giả định rằng hầu hết các ứng dụng đều dễ bị tấn công trong trường hợp này.
Bạn cũng bị ảnh hưởng nếu mở bất kỳ cửa sổ nào bằng tùy chọn nativeWindowOpen: true hoặc sandbox: true. Mặc dù lỗ hổng này cũng yêu cầu lỗ hổng XSS tồn tại trong ứng dụng của bạn, bạn vẫn nên áp dụng một trong các biện pháp giảm nhẹ bên dưới nếu bạn sử dụng một trong các tùy chọn này.
Cách khắc phục
Đội ngũ phát triển Electron đã phát hành hai phiên bản mớii3.0.0-beta.7, 2.0.8, 1.8.8, và 1.7.16 để vá lỗ hổng nghiêm trọng này.
Công ty này cho biết: “Nếu vì một số lý do bạn không thể nâng cấp phiên bản Electron của mình, bạn có thể bảo vệ ứng dụng của mình bằng sự kiện gọi event.preventDefault() trên sự kiện new-window cho tất cả các webContents. Nếu bạn không sử dụng window.open hoặc bất kỳ cửa sổ con nào thì đây cũng là một sự giảm nhẹ hợp lệ cho ứng dụng của bạn."
Theo các chuyên gia, người dùng cuối không thể làm gì với lỗ hổng này, thay vào đó, các nhà phát triển dùng nền tảng Electron JS phải nâng cấp các ứng dụng của mình ngay lập tức để bảo vệ cơ sở dữ liệu người dùng.