Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 892
- Реакции
- 3
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Разработчики фреймворка с открытым исходным кодом Electron от GitHub выпустили исправление для критической уязвимости CVE-2018-1000006, позволяющей удаленно выполнить произвольный код. Уязвимость может быть проэксплуатирована для запуска произвольных команд на компьютере под управлением ОС Windows. Для этого злоумышленнику достаточно заставить жертву перейти по специально сформированному URL-адресу.
Electron позволяет разработчикам создавать кроссплатформенные приложения для компьютера с помощью языков программирования HTML, CSS и JavaScript. Данный фреймворк использовался в разработке сотен приложений, включая Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord и WordPress.com.
Как предполагалось ранее, уязвимость была устранена в исправлении от 22 января 2018 года, однако исследователи безопасности из компании Doyensec,выяснили, что это не так, выявив в патче ряд дополнительных проблем. По словам экспертов, новая проблема позволяет осуществить атаку «человек посередине» (Man-in-the-Middle), позволяя похитить данные из приложения, а также выполнять произвольные команды.
Проблема возникла из-за некорректно реализованного правила хостов в черном списке. Таким образом, злоумышленник может установить собственные правила для переписывания выданных libchroumiumcontent доменных имен и перехвата трафика.
Напомним, ранее в Electron была обнаружена серьезная уязвимость CVE-2018-1000136, которая может привести к удаленному выполнению произвольного кода.
