Electron 被曝远程代码执行漏洞

发表于:2022-8-16 09:06

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:局长    来源:OSCHINA

#
漏洞
分享:
  上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上,安全研究人员在流行的应用软件如 Discord、Microsoft Teams、Slack,和其他许多应用的底层框架中发现了一系列的漏洞,这些应用被全世界数千万人使用。
  安全研究人员介绍了他们的发现,详细说明了他们如何通过利用所有这些软件的底层框架,入侵使用 Discord、Microsoft Teams 和聊天应用 Element 的用户。Electron 是一个构建于 Chromium 和跨平台 JavaScript 运行时环境 Node.js 之上的前端框架。
  对于发现的所有案例,安全研究人员已向 Electron 提交了漏洞以便官方进行修复,他们也因此获得了超过 1 万美元的奖励。据介绍,在研究人员发表他们的研究之前,这些漏洞已被修复。
  发现漏洞的研究人员之一 Aaditya Purani 表示:“普通用户应该知道,Electron 应用与他们日常使用的浏览器不一样”,这意味着它们有可能更容易受到攻击。
  在 Discord 的案例中,Purani 和他的同事发现的漏洞只要求他们发送一个发起视频的恶意链接。在 Microsoft Teams 中,他们发现的漏洞可以通过邀请受害者参加会议来加以利用。Purani 在演讲中解释说,在这两种情况下,如果受害目标点击了这些链接,攻击者就可以控制他们的计算机。 
  Purani 指出?,所有这些漏洞起作用的第一个要求是在 Electron 应用程序的 webview (渲染网站的部分)中执行 JavaScript。这可以通过 XSS、Open URL 重定向等漏洞或通过网站中的功能(如创建嵌入、markdown 等)来实现。在 Discord 和 Element 的案例中,安全研究人员正是通过这种方式利用了漏洞。
  第二个要求是滥用 ElectronJS 框架来升级任意 JavaScript 执行,以在终端用户操作系统上进行远程代码执行攻击。这些漏洞取决于应用程序中可用的安全设置和 IPC 通道。Purani 在演讲中展示了从最宽松到最严格的设置所采取的的攻击手段。点此查看详情。
  Purani 在接受采访时表示,自己不使用基于 Electron 开发的应用程序,而是选择在浏览器内使用 Discord 或 Slack 等应用程序,因为后者安全性更强。他建议对安全性有偏执要求的用户最好使用网站本身,因为这样就拥有了 Chromium 所提供的保护,而 Chromium 的安全性比 Electron 更高。
  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
精选软件测试好文,快来阅读吧~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号